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随 着 信息 化 不 断 深入 ， 信 息 安全 上 升 到 关系 社会 稳定 、 经 济 发 展 和 公民 权益 的 地 位 ， 成 为 国家 安全 的 重要 组 成 部 分 。 在 整个 
信息 安全 保障 工作 中 ， 人 是 最 核心 、 最 活路 的 因素 ， 信 息 安 全 保障 工作 最 终 也 是 通过 人 来 落实 的 。 因 此 ， 加 快 信息 安全 人 才 培 养 
系 建设 是 发 展 我 国信 息 安全 保障 体系 必 备 的 基础 和 先决 条 件 。 





多 年 来 ， 国 家 高 度 重视 我 国信 息 安全 人 才 队 伍 的 培养 和 建设 ， 明 确 提出 要 加 强 信息 安全 人 才 培 养 。2003 年 9 月 ， 中 共 中 央 办 
公 厅 、 国 务 院 办 公 打 转发 了 《国家 信息 化 领导 小 组 关于 加 强 信息 安全 保障 工作 的 意见 》 (中 办 发 [2003]27 号 ) ， 提 出 了 “加 快 信 

安全 人 才 培 养 ， 增 强 全 民 信息 安全 意识 ”的 指导 精神 。 中 国信 息 安全 测评 中 心 依据 中 央 赋予 的 职能 ， 自 2002 年 起 ， 积 极 推动 我 
国信 息 安全 专业 人 才 培 养 工作 。 一 方面 支持 并 配合 国内 多 所 大 学 开办 了 信息 安全 专业 ， 有 力促 进 了 信息 安全 学 历 教育 的 开展 ; 另 
一 方面 在 原 国务 院 信息 化 办 公 室 的 支持 下 ， 开 创 性 地 开展 了 信息 安全 职业 教育 与 能 力 认证 工作 ， 面 向 社会 提供 “注册 信息 安全 专 
业 人 员 ” (CISP) 培训 服务 ， 十 余年 来 培养 专业 人 才 逾 万 名 ， 为 党 政 军机 关 和 职能 部 门 以 及 金融 、 交 通 、 能 源 等 行业 和 国有 大 
型 企业 的 信息 安全 保障 工作 填补 了 专业 人 才 队 伍 的 空白 。 


教材 和 知识 体系 是 信息 业 培 训 认证 工作 的 核心 要 素 。 中 国信 息 安全 测评 中 心 在 全 面 考察 国际 知名 信息 安全 职业 教育 知 
识 体系 的 基础 上 ， 汇 集 国内 诸多 院士 、 专 家 和 学 者 智慧 ， 汲 取 教学 实践 体验 ， 提 出 信息 安全 人 才 需 要 全 面 涵盖 理论 、 技 术 、 管 
理 、 工 程 、 标 准 和 法 律 法 规 等 知识 域 ， 在 此 基础 上 编撰 了 《信息 安全 理论 与 技术 》、《 信 息 安 全 工程 与 管理 》 及 《信息 安全 标准 
与 法 律 法 规 》 系 列 教材 ， 于 2003 年 由 人 民 邮 电 出 版 社 正 式 出 版 。 该 系列 教材 填补 了 国内 空白 ， 成 为 信息 安全 保障 工作 中 的 必 备 参 
考 书 。 


信息 安全 是 动态 发 展 变 化 的 。 新 技术 不 断 推陈出新 ， 信 息 安全 态势 不 断 演变 ， 需 要 不 断 地 更 新 知识 。 经 过 十 余年 的 积累 ， 我 
们 编撰 了 《信息 安全 技术 》 和 《信息 安全 保障 》 两 本 书 ， 这 是 在 原版 本 系列 教材 基础 上 的 全 面 修订 ， 经 过 了 三 年 试用 和 多 次 完 
与 上 版 相 比 ， 修 订 后 的 教材 具有 以 下 三 个 特点 。 


一 是 主线 更 清晰 ， 内 容 更 全 面 。《 信 息 安全 技术 》 增 加 了 安全 攻击 与 防护 、 软 件 安全 开发 等 章节 。《 信 息 安全 保障 》 新 增 了 
售 息 安全 管理 基础 、 信 息 安全 风险 管理 、 信 息 级 保护 等 章 进一步 充实 了 信息 安全 法 律 、 法 规 和 标准 体系 等 方面 的 内 


容 。 整 套 教材 系统 地 阐述 了 当前 我 国信 息 息 安 全 保障 体系 的 主要 工作 ， 以 及 各 项 工作 涵盖 的 关键 技术 。 


是 知识 进行 了 全 面 更 新 。 在 《信息 安全 技术 》 中 ， 增 加 了 去 计算 、 物 联网 和 工业 控制 系统 等 新 领域 的 安全 防护 技术 ， 以 及 
主流 安全 管理 平台 、 统 一 威胁 管理 系统 、 网 络 准 入 控制 系统 、Web 应 用 安全 防护 产品 的 技术 原理 与 应 用 。 在 《信息 安全 保障 》 

寺 息 安全 战略 、 法 律 、 法 规 、 政 策 及 标准 更 新 截至 2013 年 。 本 套 教材 全 面体 现 了 信息 安全 领域 各 方面 的 最 新 发 展 状 况 ， 与 国 
外 同类 信息 安全 培训 教材 知识 体系 总 体 保 持 同 步 。 


三 是 吸收 了 十 余年 来 中 国信 息 安全 测评 中 心 在 漏洞 分 析 与 风险 评估 等 领域 的 最 新 科研 成 果 与 工作 积累 ， 同 时 ， 汇 聚 了 知名 高 
校 、 科 研 院 所 、 行 业 及 产业 信息 安全 专家 的 知识 与 经 验 。 与 国外 同类 信息 安全 培训 教材 相 比 ， 本 套 教材 更 加 贴 合 我 国信 息 安全 保 
障 的 实际 工作 要 求 ， 技 术 理 论 、 政 策 指导 与 实践 应 用 相 结合 ， 满 足 国家 对 信息 安全 人 才 的 深层 次 需求 。 


本 套 教 材 以 知识 体系 的 全 面 性 和 实用 性 为 原则 ， 涵 盖 信 息 安全 保障 、 技 术 、 工 程 、 管 理 、 法 律 、 法 规 及 标准 等 领域 知识 ， 为 
信息 安全 管理 与 技术 人 员 解 决 实际 工作 问题 提供 参考 。 本 套 教 材 主要 面向 国家 部 委 、 重 要 行业 、 科 研 院 所 及 企 事业 单位 的 信息 
全 从 业 人 员 ， 适 用 于 信息 技术 产品 研发 测试 、 信 息 系统 安全 规划 与 建设 运 维 、 信 息 安全 服务 等 方面 的 专业 技术 人 员 ， 以 及 信息 
全 总 体 规划 、 策 略 制度 制定 、 风 险 评估 和 监督 审计 等 方面 的 管理 人 员 。 
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本 大 ,教材 在 修订 完善 的 过 程 中 得 到 社会 各 界 人 士 的 关心 与 支持 ， 特 别 是 中 国信 息 安 全 测评 中 心 刘 晖 、 郭 涛 、 彭 勇 、 张 涛 、 班 


晓 芳 、 姚 软 帮 、 郭 额 、 戴 忠 华 、 任 望 、 王 庆 、 王 星 、 邹 静 ， 上 海信 息 安 全 工程 技术 研究 中 心 谢 安 明 ， 清 华 大 学 叶 晓 俊 ， 北 京 交 通 
大 学 李 勇 ， 中 国 科学 院 软 件 研究 所 苏 正 害 ， 华 东 师 范 大 学 张 雪 草 ， 北 京 信息 科技 大 学 刘 凯 ， 北 京 江 南天 安 科技 有 限 公司 陈 冠 直 、 
胡 杰 ， 北 京 时 代 新 威信 息 技术 有 限 公司 王 连 强 ， 上 海 三 零 卫 士 信 息 安 全 有 限 公司 邬 敏 华 、 陈 锡 军 、 陈 长 松 ， 北 京 奇 虎 测 腾 科技 有 
限 公司 张 兢 ， 南 京 翰 海 源 信息 技术 有 限 公 司 方 兴 ， 在 此 表示 玄 心 的 感谢 。 


教材 中 不 要 或 错误 之 处 是 请 广大 读者 批评 指正 


第 1 章 ”信息 安全 保障 基础 


阅读 提示 。 本 章 主要 介绍 信息 安全 保障 背景 、 概 念 与 模型 等 方面 的 内 容 ， 使 读者 理解 信息 安全 问题 产生 的 根源 ， 信 息 安 全 的 
内 涵 与 外 延 ， 以 及 各 个 发 展 阶段 的 特点 ， 了 解 P2DR、IATEF 等 信息 安全 保障 相关 模型 的 基本 思想 和 原理 ， 掌 握 信息 系统 安全 保障 
模型 的 保障 目标 、 保 障 周 期 和 保障 要 素 。 


1.1 -信息 安全 保障 背景 


进入 20 世 纪 下 半 叶 ， 信 息 技术 飞速 发 展 ， 成 为 最 活跃 的 生产 力 要 素 ， 促 使 生产 模式 发 生 重 大 变革 ， 引 发 了 全 球 信息 化 浪 
潮 。 这 场 信息 化 浪潮 的 特点 是 利用 信息 技术 ， 开 发 信息 资源 ， 促 进 信息 交流 ， 推 动 知识 的 传播 与 共享 ， 加 快 了 经 济 增长 ， 从 而 推 
进 社会 发 展 转型 。 进 入 21 世 纪 ， 经 济 全 球 化 浪潮 席卷 各 国 ， 信 息 化 成 为 经 济 全 球 化 的 倍增 器 ， 对 经 济 发 展 、 政 府 治理 、 社 会 变 
革 、 文 化 激荡 、 军 事变 革 都 起 到 了 巨大 的 推动 作用 。 随 着 信息 化 在 国家 发 展 中 的 重要 性 和 地 位 的 不 断 上 升 ， 信 息 安全 事件 不 断 增 
多 ， 所 造成 的 后 果 日 益 严重 ,信息 安全 逐渐 得 到 国家 重视 。 


信息 安全 是 一 门 涉及 计算 机 科学 、 网 络 技术 、 通 信 技 术 和 密码 技术 等 多 个 领域 的 交叉 学 科 ， 它 关注 信息 系统 在 安全 方面 存在 
的 问题 和 面临 的 威胁 ， 贯 穿 于 信息 系统 中 信息 生命 周期 的 整个 过 程 。 
1. 信 息 与 信息 安全 


信息 是 有 意义 的 数据 ， 同 其 他 重要 的 商业 资产 一 样 ， 是 具有 价值 、 需 要 适当 保护 的 一 种 资产 。 信 息 可 以 以 多 种 方式 存在 ， 可 
以 打印 或 书写 在 纸张 上 ， 以 电子 文档 或 其 他 电子 化 形式 存储 及 传播 。 信 息 及 其 所 处 环境 如 图 1-1 所 示 。 如 今 信 息 已 经 成 为 组 织 的 
核心 资产 之 一 ， 保 护 信息 安全 需要 从 保护 信息 载体 ， 乃 至 载体 所 处 的 环境 着 手 。 


信息 的 载体 所 处 的 环境 


信息 Ji 的 拒 体 


下 已 的 载体 


后 恩 的 载体 所 处 的 坏 二 





图 1-1 信息 及 其 所 处 环境 


在 ISO/IECI1127000《 信 息 安全 管理 体系 概述 和 术语 》 中 ， 信 息 安 全 是 指 保持 信息 的 保密 性 、 完 整 性 、 可 用 性 ， 有 时 也 包括 
真实 性 、 可 核查 性 、 不 可 否认 性 和 可 靠 性 等 。 信 息 安全 的 目标 是 保证 信息 的 一 系列 安全 属性 得 到 保持 、 不 被 破坏 ， 从 而 达到 对 组 
织 业务 运营 能 力 的 支撑 作用 。 信 息 安全 是 一 个 广泛 而 抽象 的 概念 ， 关 注 的 是 信息 自身 的 安全 。 信 息 安全 的 任务 是 保护 信息 资产 
(信息 及 信息 系统 ) 免 受 未 经 授权 的 访问 使 用 、 披 露 、 破 坏 、 修 改 、 查 看、 记录 及 销毁 。 信 息 本 身 应 具有 的 安全 属性 主要 有 3 个 
方面 。 


` 保密 性 : 信息 不 泄露 给 未 授权 的 访问 者 、 实 体 和 进程 ， 或 被 其 利用 


` 完整 性 : 信息 在 存储 或 者 传输 过 程 中 保持 未 经 授权 不 能 改变 的 特性 ， 即 对 抗 主动 攻击 ， 保 持 数 据 一 致 ， 防 止 数据 被 非法 用 
户 修改 和 破坏 。 


. 可 用 性 : 信息 可 被 授权 者 访问 并 按 需 求 使 用 的 特性 ， 即 保证 合法 用 户 对 信息 和 资源 的 使 用 不 会 被 不 合理 地 拒绝 。 
言 息 的 以 上 3 个 基本 安全 属性 习惯 上 简称 为 CIA (Confidentiality-Integrity-Availability) 。 
2. 特 征 与 范畴 
与 传统 安全 相 比 ， 信 息 安全 有 4 个 鲜明 特征 : 系统 性 、 动 态 性 、 无 边界 性 和 非 传统 性 。 


(1) 信息 安全 是 系统 的 安全 


荆 


言 息 安全 问题 是 复杂 的 。 信 息 化 发 展 以 巨大 的 力量 推动 着 人 类 社会 生存 方式 的 重大 变革 ， 这 一 变革 使 我 们 面 对 前 所 未 有 的 复 


杂 环 境 : 一 个 无 所 不 在 、 全 球 互 连 互通 的 国际 化 网 络 空间 ， 无 数 广 域 覆 盖 的 、 大 规模 复杂 专用 网 络 信息 系统 ， 品 种 多 样 的 海量 计 
算 设 备 与 信息 处 理 终端 。 在 这 个 “人 -机 ”、“ 人 -网 ”紧密 结合 的 复杂 系统 中 ， 某 一 分 支 或 车 一 要 害 受 到 损害 ， 均 可 能 引发 全 局 
性 的 系统 危机 。 从 这 个 角度 而 言 ， 我 们 不 能 珀 立地 从 单一 维度 或 者 单个 安全 因素 来 看 待 信息 安全 ， 也 不 能 将 之 视 为 单纯 的 技术 问 
题 或 者 管理 问题 ， 而 是 要 系统 地 从 技术 、 管 理 、 工 程 和 标准 法 规 等 各 层面 综合 保障 信息 安全 。 


(2) 信息 安全 是 动态 的 安全 


信息 安全 问题 具有 变化 性 。 首 先 ， 信 息 系统 从 规划 设计 ， 到 集成 实施 ， 再 到 运营 维护 ， 最 后 到 废弃 ， 在 整个 生命 周期 中 ， 信 
息 系 统 面临 着 不 同 的 安全 问题 ， 因 此 不 能 用 固化 的 视角 看 待 。 其 次 ， 信 息 系统 所 面临 的 风险 是 动态 变化 的 ， 新 的 漏洞 和 攻击 手段 
都 会 对 系统 的 安全 状况 产生 影响 。 此 外 ， 云 计算 、 物 联网 、 大 数据 和 移动 互联 网 等 新 技术 在 带 给 人 们 便利 的 同时 ， 也 产生 了 各 种 
新 的 威胁 和 安全 风险 。 综 上 所 述 ， 对 信息 安全 不 能 抱 有 一 劳 永 逸 的 思想 ， 而 是 应 该 根据 风险 的 变化 ， 在 信息 系统 的 整个 生命 周期 
中 采取 相应 的 安全 措施 来 控制 风险 。 


祝 息 安全 的 动态 特性 决定 了 信息 安全 问题 与 实践 密切 相关 。 信 息 安全 已 经 从 病毒 传播 、 黑 客 入 侵 、 技 术 故 障 等 局 部 性 、 个 别 
性 和 偶发 性 的 问题 ， 逐 步 转变 为 网 络 犯罪 、 网 络 恐 怖 主义 等 全 球 性 的 普遍 问题 ， 成 为 攻守 双方 在 高 新 技术 领域 内 展开 的 一 场 激烈 
较量 。 


(3) 信息 安全 是 无 边界 的 安全 


互联 网 是 一 个 全 球 互 连 互通 的 国际 化 网 络 空间 。 信 息 化 的 重要 特点 是 开放 性 和 互通 性 ， 信 息 天 键 基础 设施 都 是 广 域 覆 盖 的 大 
规模 复杂 信息 系统 ， 与 互联 网 通过 各 种 方式 连接 ， 例 如 金融 、 税 务 、 电 子 政务 系统 等 。 同 时 ， 各 系统 之 间 也 逐步 实现 互 连 互通 ， 
这 使 得 信息 安全 威胁 超越 了 现实 地 域 的 限制 。 此 外 ， 互 联网 具有 传播 速度 快 、 履 盖 面 广 、 隐 蔽 性 强 和 无 国界 等 特点 ， 违 法 犯罪 活 
动 不 断 向 互联 网 渗透 ， 这 对 信息 安全 保障 提出 了 更 高 的 要 求 。 


(4) 信息 安全 是 非 传统 的 安全 


与 军事 安全 、 政 治安 全 等 传统 安全 相 比 ， 信 息 安 全 涉及 的 领域 和 影响 范围 十 分 广泛 。 如 果 信息 安全 得 不 到 保障 ， 虽 然 国家 没 
有 受到 武力 攻击 ,没有 明确 的 敌对 国家 ， 领 土 和 主权 是 完整 的 ， 但 人 们 却 感受 到 威胁 的 存在 。 传 统 维 护 安全 的 军事 和 治安 手段 无 
法 应 对 信息 安全 问题 ， 必 须 采 用 新 方法 来 治理 信息 与 互联 网 安全 。 


第 一 ， 信 息 安全 是 一 个 技术 问题 ， 如 设备 故障 、 系 统 本 身 人 存在 的 安全 漏洞 、 系 统 配置 不 合理 和 黑客 攻击 等 。 互 联网 时 代 信息 
分 布 在 网 络 中 ， 大 数据 技术 使 信息 的 收集 和 整理 变 得 越 来 越 便捷 ， 个 人 及 单位 信息 容易 暴露 在 网 络 中 ， 网 络 泄密 、 窃 密 等 现象 严 
重 ， 有 效 的 安全 技术 措施 是 保护 信息 安全 最 直接 的 手段 。 


第 二 ， 信 息 安全 是 一 个 组 织 管理 问题 。 信 息 安全 的 最 终 目标 是 保障 信息 系统 所 承载 业务 的 安全 。 业 务 的 引入 使 信息 安全 不 仅 
仅 是 技术 问题 ， 它 是 人 、 技 术 系 统 和 组 织 内 部 环境 等 综合 因素 产生 的 问题 。 对 于 组 织 而 言 ， 一 方面 ， 信 息 化 促进 了 组 织 的 工作 效 
率 提高 、 业 务 处 理 流程 改进 和 人 力 成 本 降低 ， 有 效 提升 了 组 织 的 竞争 力 和 效益 ; 另 一 方面 ， 由 于 业务 日 益 依赖 信息 技术 ， 技 术 故 
障 、 网 络 攻击 和 违规 操作 等 给 业务 带 来 的 损失 也 日 益 突 出 ， 极 端 情况 下 所 造成 的 信息 丢失 和 破坏 甚至 可 能 影响 到 组 织 的 生存 与 发 
展 。 有 效 的 信息 安全 管理 能 弥补 单纯 技术 手段 的 不 足 。 


第 三 ， 信 息 安全 问题 常常 波及 公众 ， 社 会 影响 面 广 。 网 络 已 经 成 为 一 种 与 报纸 、 电 视 等 传统 传媒 共存 的 新 兴 传 媒 ， 并 以 其 及 
时 性 、 互 动 性 等 特有 的 优点 ， 发 挥 着 其 他 传媒 所 不 具备 的 作用 。 网 络 的 这 个 特点 ， 使 得 网 络 成 为 民情 汇聚 之 处 、 僵 论 汇聚 之 处 、 
网 民 沟通 之 处 。 网 络 对 社会 稳定 起 着 放大 器 的 作用 。 一 方面 ， 网 络 是 问 政 于 民 的 有 效 手 段 ， 另 一 方面 ， 网 络 也 会 将 社会 热点 事件 
的 影响 快速 扩散 放大 ， 如 不 能 及 时 有 效应 对 ， 容 易 造 成 群体 事件 ， 影 响 社会 稳定 。 网 络 的 普及 ， 对 政府 治理 提出 了 更 高 的 要 求 ， 
通过 网 络 舆 论 手 段 ， 弘 扬 健 康 网 络 文化 ， 培 养 良 好 的 网 络 环境 ， 将 有 助 于 形成 良好 的 社会 道德 风尚 。 


第 四 ， 信 息 安全 问题 关系 到 社会 稳定 和 国计民生 ， 危 及 军事 、 经 济 等 领域 安全 。 当 前 关键 基础 设施 广泛 使 用 信息 技术 ， 尤 其 
是 交通 运输 、 水 利 、 供 水 、 核 设施 、 能 源 (包括 电力 、 石 油 化 工 ) 和 钢铁 等 工业 控制 领域 ， 信 息 技术 成 为 提高 生产 效率 的 核心 手 
段 。 这 些 天 键 基础 设施 的 工业 控制 系统 一 旦 遭受 安全 攻击 ， 将 给 人 们 生产 生活 造成 严重 影响 。 此 外 ， 网 络 攻击 也 日 益 成 为 国家 之 
间 外 交 纠 纷 的 来 源 。 各 国 已 将 其 作为 国家 安全 的 组 成 部 分 ， 建 立 危机 处 理 机 制 ， 加 强 互联 网 管控 ,通过 法 律 手段 打击 网 络 犯罪 ， 
从 源头 上 遏制 网 络 犯罪 蔓延 势头 。 


[1] 国际 电工 委员 会 (Intetnational Electrotechnical Commission, IEC) 。 


1.1.2 ”信息 安全 问题 根源 


技术 故障 、 黑 客 攻击 、 病 毒 和 漏洞 等 原因 都 可 以 引发 信息 安全 问题 ， 信 息 安全 问题 产生 的 根源 可 以 从 内 因 和 外 因 两 个 方面 加 
以 分 析 。 


内 因 是 信息 系统 自身 存在 脆弱 性 。 信 息 系统 过 程 、 结 构 和 应 用 环境 的 复杂 性 导致 系统 本 身 不 可 避免 地 存在 脆弱 性 。 换 句 话 
说 ， 信 息 系统 的 脆弱 性 是 一 种 客观 人 存在。 信息 系统 生命 周期 的 各 个 阶段 都 可 能 引入 安全 缺陷 。 在 需求 分 析 和 设计 阶段 ， 由 于 用 户 
对 安全 重视 不 足 ， 安 全 需求 不 明确 ， 开 发 人 员 在 设计 过 程 中 会 优先 考虑 系统 功能 、 易 用 性 、 代 码 大 小 和 执行 效率 等 因素 ， 将 安全 
放 在 次 要 位 置 。 在 实现 阶段 ， 尚 未 普遍 使 用 软件 安全 开发 工程 ， 开 发 的 软件 存在 安全 缺陷 。 在 使 用 和 运行 阶段 ， 安 全 管理 不 到 
位 ， 运 维 人 员 意 识 落 弱 或 能 力 不 足 ， 容 易 导 致 系统 操作 失误 ， 或 被 恶意 攻击 。 


外 因 是 信息 系统 面临 着 众多 威胁 。 这 些 威胁 包括 人 为 因素 和 非 人 为 因素 (也 称 为 环境 因素 ) 两 大 类 。 人 为 因素 可 以 分 为 个 人 
威胁 、 组 织 威胁 和 国家 威胁 3 个 层面 ， 根 据 掌握 的 资源 ， 这 3 个 层面 所 具备 的 威胁 能 力 依次 递增 ， 如 表 1-1 所 示 。 非 人 为 因素 (如 
雷击 、 地 震 、 火 灾 和 洪水 等 自然 灾害 及 极端 天 气 ) 也 容易 引发 信息 安全 问题 。 


表 1-1 外 部 威胁 一 一 人 为 因素 


威胁 的 层面 威胁 实施 者 
信息 作战 部 队 
情报 机 构 
网 络 疏 怖 分 子 
组 织 威胁 [ 业 间 谍 
网 络 犯 罪 团伙 


社会 型 黑客 


威胁 手法 
巩固 战略 优势 ， 制 造 混乱 ， 进行 目 标 破坏 
搜集 政治 、 军 事 、 经 济 等 情报 信息 
破坏 公共 秩序 、 制 造 社会 混乱 等 
掠夺 竞争 优势 、 打 击 竞争 对 手 
获取 非法 经 济 利益 等 
获取 经 济 利 益 、 仙 吓 、 获 取 声 望 等 


恶作剧 、 实 现 自我 挑战 等 








国家 威胁 

















个 人 威胁 
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1.1.3 ”信息 技术 与 信息 安全 发展 阶段 


日 益 增加 的 信息 化 需求 ， 愈 演 愈 烈 的 信息 安全 事件 ， 使 信息 安全 技术 和 管理 的 概念 不 断 发 展 深化 ， 驱 动人 们 对 信息 安全 的 认 
识 也 逐步 加 深 。 从 最 初 关注 通信 安全 发 展 到 目前 关注 信息 系统 基础 设施 的 信息 保障 ， 信 息 安全 伴随 着 信息 技术 的 变化 而 不 断 发 
展 。 


1. 信 息 技术 发 展 阶段 


人 类 进行 通信 的 历史 悠久 。 早 在 远古 时 期 ， 人 们 就 开始 通过 简单 的 语言 等 方式 交换 信息 。 随 着 文字 的 诞生 ， 几 生年 来 ， 书 信 
一 直 是 人 们 远程 通信 的 主要 手段 。19 世 纪 中 叶 以 后 ， 随 着 电磁 技术 的 发 展 ， 诞 生 了 电报 和 电话 ， 人 类 通信 手段 有 了 飞跃 ， 开 始 
进入 新 时 代 。1837 年 ， 美 国人 摩尔 斯 (Morse) 发 明了 电报 机 ， 将 信息 转换 成 电 脉冲 传 向 目的 地 ， 到 达 目 的 地 后 再 转换 为 原来 
的 信息 ， 从 而 实现 了 长 途 电报 通信 。1875 年 ， 贝 尔 发 明了 电话 机 。 他 于 1878 年 在 相距 300 公 里 的 波士顿 和 纽约 之 间 进 行 了 首次 
长 途 电话 实验 ， 获 得 了 成 功 。1906 年 ， 美 国 物理 学 家 费 森 登 成 功 地 研究 出 无 线 电 广 播 。 法 国人 克拉 维尔 建立 了 英法 第 一 条 商用 
无 线 电线 路 ， 推 动 了 无 线 电 技术 的 进一步 发 展 。 进 入 20 世 纪 ， 万 其 是 在 第 二 次 世界 大 战 时 期 ， 军 事 和 外 交 方 面 的 巨大 需求 ， 使 
得 无 线 通信 技术 得 到 飞速 发 展 ， 用 于 传递 军事 情报 、 作 战 指令 和 外 交 政 策 等 各 种 天 键 信息 。 


20 世 纪 发 明 的 计算 机 ， 极 大 地 改变 了 信息 处 理 方式 和 效率 ， 信 息 技术 从 此 进入 计算 机 阶段 。1946 年 ， 美 国 研制 出 电子 数字 
积分 计算 机 (Electronic Numerical Integrator And Computer，ENIAC) ， 标 志 着 数字 电子 计算 机 的 诞生 。ENIAC 重 30 吨 ， 
用 了 18000 个 电子 管 。 计 算 机 经 历 了 电子 管 、 晶 体 管 、 集 成 电路 (Integrated Circuit，IC) 等 阶段 。20 世 纪 70 年 代 ， 随 着 个 人 
计算 机 的 普及 ， 人 们 开始 使 用 计算 机 处 理 各 种 业务 。 计 算 机 在 处 理 、 存 储 信息 数据 等 方面 应 用 越 来 越 广泛 。 


计算 机 网 络 ， 尤 其 是 互联 网 的 出 现 ， 是 信息 技术 发 展 历程 中 的 一 个 里 程 碑 事件 ， 它 将 通信 技术 和 计算 机 技术 结合 起 来 。 在 网 
络 阶段 ， 安 全 需求 的 核心 是 实现 信息 资产 生成 、 处 理 、 传 输 和 存储 等 各 阶段 的 保密 性 、 完 整 性 和 可 用 性 。 


随 着 网 络 的 普及 ， 人 们 的 工作 、 生 活 和 学 习 已 经 越 来 越 离 不 开 网 络 ， 国 家 的 经 济 发 展 和 社会 治理 也 都 依赖 网 络 。 “网 络 空 
间 ” (Syberspace) 成 为 与 现实 社会 相对 应 的 虚拟 社会 ， 进 入 网 络 化 社会 阶段 ， 这 个 阶段 的 特征 是 各 行业 、 各 组 织 的 业务 越 来 
越 依赖 于 网 络 。 信 息 技 术 的 发 展 ， 对 个 人 、 组 织 、 经 济 发 展 、 社 会 稳定 和 国家 安全 都 产生 了 巨大 影响 。 


2. 信 息 安全 发 展 阶段 


人 们 对 信息 技术 各 个 发 展 阶 段 涌 现 出 的 信息 安全 问题 进行 了 探索 与 研究 ， 以 对 抗 各 个 阶段 的 威胁 。 信 息 安全 的 发 展 经历 了 通 
信安 全 (Communication Security，COMSEC) 、 计 算 机 安全 (Computer Security，COMPUSEC) 、 信 息 系 统 安全 
(Information Systems Security，INFOSEC) 和 信息 安全 保障 (Information Assurance，IA) 4 个 阶段 。 


在 通信 安全 阶段 ， 信 息 安全 主要 面临 的 威胁 是 攻击 者 对 通信 内 容 的 窃取 。 有 线 通 信 容 易 被 搭 线 窃听 ， 无 线 传播 由 于 电磁 波 在 
空间 传播 易 被 监听 。 这 使 得 保密 成 为 通信 安全 阶段 的 核心 安全 需求 。 因 此 ， 这 一 阶段 主要 是 通过 密码 技术 加 密 通信 内 容 ， 保 证 数 
据 的 保密 性 和 完整 性 。 


进入 20 世 纪 70 年 代 ， 美 国 国家 标准 局 (National Bureau of Standards，NBS) 公布 了 《数据 加 密 标准 》 (Data 
Encryption Standard，DES) ， 标 志 着 信息 安全 由 通信 保密 阶段 进入 计算 机 安全 阶段 。 这 个 时 期 ， 计 算 机 网 络 尚未 大 规模 普 
及 。 计 算 机 阶段 的 主要 威胁 来 自 非 授权 用 户 对 计算 资源 的 非法 使 用 ， 以 及 对 信息 的 非 授权 修改 和 破坏 。 计 算 机 安全 的 主要 目的 是 
确保 信息 系统 的 保密 性 、 完 整 性 和 可 用 性 ， 典 型 的 安全 措施 是 通过 操作 系统 的 访问 控制 技术 来 防止 非 授权 用 户 的 访问 。1985 
年 ， 美 国 国防 部 (Department of Defense，DoD) 发 布 《 可 信 计 算 机 系统 评估 准则 》 (Trusted Computer System 
Evaluation Criteria，TCSEC) ， 将 操作 系统 安全 分 级 。 后 来 ， 安 全 方面 的 评估 准则 发 展 为 彩虹 系列 。 


舍 息 系统 安全 也 称 网 络 安全 ， 主 要 是 保护 信息 在 人 存储、 处理 和 传输 过 程 中 免 受 非 授权 访问 ， 防 止 授权 用 户 遭 受 拒绝 服务 ， 同 
时 检测 、 记 录 和 对 抗 此 类 威胁 。 为 了 抵御 这 些 威胁 ， 人 们 开始 使 用 防火 墙 、 防 病毒 工具 、 公 铀 基础 设施 (Public Key 
Infrastructure，PKI) 和 虚拟 专用 网 (Virtual Private Network，VPN) 等 安全 产品 。 此 阶段 的 主要 标志 是 发 布 了 《信息 技术 
安全 性 评估 通用 准则 》 ， 此 准则 即 通 常 所 说 的 通用 准则 (Common Criteria，CC) ， 后 转变 为 国际 标准 ISO/IEC 15408。 我 国 
等 同 采纳 此 国际 标准 为 国家 标准 GB/T 18336。 


1996 年 美国 国防 部 第 5-3600.1 号 指令 (DoDD 5-3600.1) 第 一 次 提出 了 信息 安全 保障 (也 称 “ 信 息 保障 ”) 的 概念 。 当 信 
息 化 从 网 络 阶段 进入 网 络 空 间 阶段 后 ， 信 息 安全 威胁 来 源 从 个 人 上 升 到 犯罪 组 织 ， 甚 至 国家 力量 。 在 这 个 阶段 ， 人 们 认识 到 信息 


安全 保障 不 能 仅仅 依赖 于 技术 措施 ， 开 始 意识 到 管理 的 重要 性 和 信息 系统 的 动态 发 展 性 ， 信 息 安全 保障 的 概念 逐渐 形成 和 成 熟 。 
言 息 安 全 保障 把 信息 安全 从 技术 扩展 到 管理 ， 从 静态 扩展 到 动态 ， 通 过 技术 、 管 理 和 工程 等 措施 的 综合 融合 ， 形 成 对 信息 、 信 息 
系统 乃至 业务 使 命 的 保障 。 


信息 安全 每 个 阶段 所 面临 的 典型 威胁 不 断 发 生变 化 ， 每 个 阶段 所 采取 的 安全 措施 也 有 所 不 同 ， 如 表 1-2 所 示 。 


表 1-2 信息 安全 发 展 各 阶段 











阶 段 年 代 典型 威胁 安全 措施 
通信 安全 20 世纪 40 ~ 70 年 代 搭 线 窃 听 、 密 码 学 分 析 加 密 
计算 机 安全 20 世纪 70 ~ 80 年 代 非法 访问 、 亚 意 代 但 等 安全 操作 系统 技术 
支 术 故障 、 网 络 人 侵 防火 墙 、 防 病毒 工具 、 滞 
信息 系统 安全 | 20 世纪 90 年 代 和 ee 如 Ee sk we 
病毒 破坏 等 入 侵 检 测 、PKI、 灾 难 恢复 等 
Nn , 黑客 、 疏 怖 分 子 、 网 2 ea 
信息 安全 保障 今天 ……: pe 技术 、 管 理 、 工 程 、 人 员 培 训 等 











信息 战 、 自 然 灾 难 等 


进入 21 世 纪 后 ， 尤 其 是 从 2008 年 起 ， 在 美国 带动 下 ， 世 界 各 国信 息 安 全 政策 、 技 术 和 实践 发 生 明 显 变 革 ， 纷 纷 将 网 络 安全 
问题 上 升 到 国家 安全 的 高 度 。2008 年 1 月 ， 美 国 发 布 《 国 家 网 络 安全 综合 倡议 》 (Comprehensive National Cybersecurity 
Initiative，CNCI) ， 号 称 网 络 安全 “曼哈顿 项 目 ”， 提出 网 络 威慑 概念 。2009 年 5 月 29 日 美国 发 布 《网 络 空间 政策 评估 : 确保 
言 息 和 通讯 系统 的 可 靠 性 和 韧性 》 报 告 。 与 信息 安全 保障 相 比 ， 新 的 发 展 趋势 是 强调 “威慑 ”概念 ， 将 防御 、 威 慑 和 利用 结合 成 
三 位 一 体 的 信息 安全 保障 /网 络 空间 安全 (Information Security/Cyberspace Security, IA/CS) 。 


1.2 ”信息 安全 保障 概念 与 模型 


言 息 技术 发 展 到 网 络 化 社会 阶段 ， 信 息 安全 作为 一 个 日 益 重要 而 尖锐 的 问题 ， 涉 及 面 越 来 越 完 ， 众 多 因素 和 变量 均 处 于 “不 
确定 ”状态 ， 在 这 种 情况 下 只 能 维持 一 种 动态 、 可 控 的 安全 状态 ， 信 息 安全 保障 就 是 这 样 一 种 安全 理念 。 


1.2.1 ”信息 安全 保障 概念 


为 了 满足 现代 信息 系统 和 应 用 的 安全 保障 需求 ， 除 了 防止 信息 泄露 、 修 改 和 破坏 ， 还 应 当 检测 入 侵 行为 ， 计划 和 部 署 针 对 入 
侵 行为 的 防御 措施 ; 同时 ， 采 用 安全 措施 和 容错 机 制 ， 在 遭受 攻击 的 情况 下 ， 保 证 机 密 性 、 私 密 性 、 完 整 性 、 抗 抵赖 性 、 真 实 
性 、 可 用 性 和 可 靠 性 ;修复 信息 和 信息 系统 所 遭受 的 破坏 。 这 被 称 作 “信息 安全 保障 ”， 它 能 够 不 受 安全 威胁 的 影响 ， 在 分 布 式 
和 不 同 种 类 计算 和 通信 环境 中 ， 传 递 可 信 、 正 确 、 及 时 的 信息 。 通 过 保证 信息 和 信息 系统 的 可 用 性 、 完 整 性 、 保 密 性 及 抗 抵赖 性 
来 保护 信息 和 信息 系统 ， 包 括 通过 综合 保护 、 检 测 和 响应 等 能 力 为 信息 系统 提供 修复 。 


同 传统 的 信息 安全 和 信息 系统 安全 的 概念 比较 ， 不 难看 出 信息 安全 保障 的 概念 更 加 广泛 。 首 先 ， 传 统 信息 安全 的 重点 是 保护 
和 防御 ， 而 信息 安全 保障 的 概念 是 保护 、 检 测 和 响应 的 综合 。 其 次 ， 传 统 信息 安全 的 概念 不 太 关 注 检测 和 响应 ， 但 是 信息 安全 保 
障 非 常 关注 这 两 点 。 再 次 ， 攻 击 后 的 修复 不 在 传统 信息 安全 概念 的 范围 之 内 ， 但 是 它 是 信息 安全 保障 的 重要 组 成 部 分 。 最 后 ， 传 
统 信息 安全 的 目的 是 为 了 防止 攻击 的 发 生 ， 而 信息 安全 保障 的 目的 是 为 了 保证 当 有 攻击 发 生 时 ， 信 息 系统 始终 能 保证 维持 特定 水 
平 的 可 用 性 、 完 整 性 、 真 实 性 、 机 密 性 和 抗 抵赖 性 。 


毋庸 置疑 ， 信 息 安全 保障 包含 许多 学 科 ， 有 多 种 方面 ， 如 策略 、 法 规 、 道 德 、 管 理 、 评 估 和 技术 。 同 传统 的 信息 安全 实践 相 
比 ， 信 息 安全 保障 不 仅 包 含 设计 和 改进 各 种 新 安全 技术 ， 还 包括 多 种 应 急 策略 、 法 规 、 道 德 、 社 会 、 经 济 、 管 理 、 评 佑 和 保障 问 
题 ， 信 息 安全 保障 加 快 了 人 们 对 信息 安全 实践 的 步伐 。 


1.2.2 ”信息 安全 保障 相关 模型 


信息 安全 保障 相关 模型 能 准确 描述 安全 的 重要 方面 与 系统 行为 的 天 系 ， 提 高 对 成 功 实现 关键 安全 需求 的 理解 层次 ，“ 计 划 - 
执行 -检查 -改进 ” (Plan Do Check Act，PDCA) 模型 和 信息 保障 技术 框架 是 信息 安全 管理 和 信息 安全 保障 技术 实施 过 程 遵循 
的 方法 和 思想 。 





1.P2DR 模 型 


防护 -检测 -响应 (Protection Detection Response，PDR) 模型 的 基本 思想 是 承认 信息 系统 中 存在 漏洞 ， 正 视 系统 面临 的 
威胁 ， 通 过 适度 防护 并 加 强 检测 ， 落 实 安全 事件 响应 ， 建 立 威胁 源 威慑 ， 保 障 系统 安全 。 该 模型 认为 ， 任 何 安全 防护 措施 都 是 基 
于 时 间 的 ， 超 过 该 时 间 段 ， 这 种 防护 措施 就 可 能 被 攻破 。 该 模型 给 出 了 信息 系统 攻防 时 间 表 ， 攻 击 时 间 指 的 是 系统 采取 某 种 防守 
措施 ， 使 用 不 同 的 攻击 手段 攻破 该 防守 措施 所 需要 的 时 间 。 防 守 时 间 指 的 是 对 于 某 种 固定 攻击 采取 不 同 的 安全 防护 措施 ， 该 防护 
措施 所 能 坚守 的 时 间 。PDR 模 型 直观 、 实 用 ， 但 对 系统 的 安全 隐患 和 安全 措施 采取 相对 固定 的 假设 前 提 ， 难 以 适应 网 络 安全 环境 
的 快速 变化 。 

在 PDR 模 型 基础 上 ， 增 加 策略 要 素 便 形成 了 “策略 -防护 -检测 -响应 ” (Policy Protection Detection 
Response，P2DR/PPDR) 模型 ， 即 “策略 -防护 -检测 -响应 ”。 该 模型 的 核心 是 信息 系统 所 有 防护 、 检 测 和 响应 都 是 依据 安全 
策略 实施 的 ， 如 图 1-2 所 示 。 
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图 1-2” P2DR 模 型 


在 P2DR 模 型 中 ， 策 略 指 信息 系统 的 安全 策略 ， 包 括 访 问 控制 、 加 密 通 信 、 身 份 认证 和 备份 恢复 等 ， 策 略 体系 的 建立 包括 安 
全 策略 的 制订 、 评 佑 与 执行 等 。 防护 指 通过 部 署 和 采用 安全 技术 来 提高 信息 系统 的 防护 能 力 ， 如 访问 控制 、 防 火 墙 、 入 侵 检 测 、 
加 密 和 身份 认证 等 技术 。 检 测 指 利用 信息 安全 检测 工具 ， 监 视 、 分 析 、 审 计 网 络 活动 ， 了 解 信息 系统 的 安全 状态 。 检 测 使 安全 从 
被 动 防护 演进 为 主动 防御 ， 体 现 了 模型 的 动态 性 ， 主 要 方法 包括 实时 监控 、 检 测 和 报警 等 。 响 应 指 检测 到 安全 漏洞 和 事件 时 ， 及 
时 通过 响应 措施 将 信息 系统 的 安全 性 调整 到 风险 最 低 的 状态 ， 其 主要 方法 包括 关闭 服务 、 跟 踪 反 击 、 消 除 影响 、 启 动 备份 系统 ， 
以 及 恢复 系统 功能 和 数据 等 。 


在 P2DR 模 型 中 ， 可 以 将 各 个 环节 所 需 时 间 与 防护 时 间 相 比较 ， 判 断 信息 系统 在 面临 各 种 威胁 时 是 否 安全 。 假 设 系统 5 的 防 
护 、 检 测 和 响应 时 间 分 别 是 Pt、Dt 和 Rt， 系 统 被 对 手 成 功 攻击 后 的 暴露 时 间 为 Et， 那 么 可 以 根据 下 面 两 个 关系 式 来 判断 系统 S 是 
否 安全 : 


:如果 Pt>>Dt 十 Rt， 那 么 $ 是 安全 的 ; 
. 如 果 Pt 二 Dt 十 Rt， 那 么 Et 二 (Dt 十 Rt) -Pt。 


P2DR 模 型 的 核心 思想 是 : 在 统一 安全 策略 的 控制 下 ， 综 合 运 用 防护 工具 ， 使 用 检测 工具 检测 、 评 估 系 统 的 安全 状态 ， 及 时 
通过 响应 措施 将 系统 调整 到 安全 风险 最 低 的 状态 。 


与 PDR 模 型 相 比 ，P2DR 模 型 更 突出 控制 和 对 抗 ， 即 强调 系统 安全 的 动态 性 ， 并 且 以 安全 检测 、 漏 洞 监测 和 自 适 应 填充 “ 安 
全 间隙 ”为 循环 来 提高 网 络 安全 。P2DR 模 型 还 考虑 了 管理 因素 ， 强 调 安全 管理 的 持续 性 ， 关 注 检测 的 重要 性 ， 通 过 实时 监视 网 
络 活动 ， 发 现 威胁 和 弱点 来 修补 安全 漏洞 。 


目前 ，P2DR 模 型 又 有 了 新 的 发 展 ， 形 成 “策略 -防护 -检测 -响应 -恢复 ” (Policy Protection Detection Response 
Recovery，P2DR2/PPDRR) 模型 。P2DR2 是 一 种 动态 的 、 自 适应 的 安全 处 理 模型 。 在 进行 风险 处 理 时 可 参考 此 模型 ， 以 适应 
安全 风险 和 安全 需求 的 不 断 变 化 ， 提 供 持续 的 安全 保障 。PPDRR 模 型 包括 策略 、 防 护 、 检 测 、 响 应 和 恢复 5 个 主要 部 分 ， 防 护 、 
侈 测 、 响 应 和 恢复 构成 一 个 完整 的 、 动 态 的 安全 循环 ， 在 安全 策略 的 指导 下 共同 实现 安全 保障 。 不 同等 级 的 信息 系统 的 安全 保护 
要 求 不 同 ， 因 而 可 采用 不 同 的 风险 处 理 模 型 。 对 于 安全 保护 等 级 为 4 及 以 上 的 信息 系统 ， 建 议 采 用 PPDRR， 安 全 保护 等 级 为 3 的 
言 息 系 统 ， 建 议 参 考 PPDRR 模 型 ， 安 全 保护 等 级 为 2 及 以 下 的 信息 系统 ， 可 不 做 要 求 。 


风险 处 理 的 需求 来 自 机 构 信息 系统 的 安全 要 求 和 风险 评估 结果 。 针 对 不 同 的 风险 处 理 需 求 ， 应 采取 不 同 的 风险 处 理 措施 。 表 
1-3 根 据 PPDRR 模 型 列 出 了 主要 的 风险 处 理 需求 及 其 相应 的 风险 处 理 措施 。 


表 1-3 主要 的 风险 处 理 需求 及 其 相应 的 风险 处 理 措施 












风险 处 理 措施 






风险 处 理 需求 
设备 管理 制度 
机 房 出 入 守则 
统 安全 管理 守则 
统 安全 配置 明细 
策略 网 络 安全 管理 守则 
(Policy) 网 络 安全 配置 明 纯 
应 用 安全 管理 守则 
应 用 安全 配置 明 纯 
应 急 啊 应 计划 
安全 事件 处 理 准 则 


PPDRR 要 素 


















HN | HN 






建立 与 健全 各 种 安全 相关 的 规章 制度 和 操作 规范 ， 使 得 保护 、 检 
测 和 啊 应 环节 有 董 可 循 、 切 实 有 效 





























( 续 ) 
PPDRR 要 素 风险 处 理 需求 风险 处 理 措 施 


严格 按照 GB 50174 一 1993《 电 子 计算 机 机 房 设计 规范 》” GB 
9361 一 1988《 计 算 机 场地 安全 要 求 》 GB 2887 一 1982《 计 算 机 场地 


安全 机 构 、 安 全 岗位 、 


立 与 健全 安全 机 构 ， 合 理 设置 安全 岗位 ， 全 责 
A 建立 与 健全 安全 机 构 ， 合 理 设置 安全 岗位 ， 明 确 划 分 安全 责任 


各 技术 要 求 》 和 GB/T 2887 一 2000《 计 算 机 场地 通用 规范 》 等 国家 标 
准 建设 和 维护 计算 机 机 房 
门 控 安装 门 控 系 统 
建设 保安 制度 和 保安 队伍 
在 必要 的 地 方 设置 抗 电磁 干扰 和 防 电磁 泄漏 的 设施 
人 六 防 病毒 
及 时 下 载 和 安装 最 新 的 漏洞 修补 模块 
严格 遵守 各 系统 单元 的 安全 配置 明细 ， 避 免 配置 中 的 安全 漏洞 
E 根据 不 同 的 安全 强度 ， 分 别 采 用 身份 标识 / 口令 、 数 字 证 书 、 生 物 
保护 身份 认证 识别 、 双 因子 等 级 别 的 身份 认证 系统 ， 对 设备 、 用 户 、 服 务 等 主客 
(Protection ) 体 进行 身份 认证 
根据 不 同 的 安全 强度 ， 分 别 采用 自主 型 、 强 制 型 等 访问 控制 系统 ， 
对 设备 、 用 户 等 主体 访问 客体 的 权限 进行 控制 
根据 不 同 的 安全 强度 ， 分 别 采用 商 密 、 普 密 、 机 密 等 级 别 的 数据 
加 密 系统 ， 对 传输 数据 和 存储 数据 进行 加 密 
在 网 络 边界 布置 防火 墙 ， 阻止 来 自 外 界 的 非法 访问 
对 于 需要 版 权 保护 的 图 片 、 声 音 、 文 字 等 形式 的 信息 ， 采 用 数字 
水 印 技术 加 以 保护 
在 需要 防止 事后 否认 时 ， 可 采用 数字 签名 技术 


在 适当 的 位 置 安置 监视 器 和 报警 器 ， 在 各 系统 单元 中 配备 监测 系 
| - 
监视 、 监 测 和 报警 。 | 统 和 报警 系统 ， 以 实时 发 现 安全 事件 并 及 时 报警 


数据 校 验 通过 数据 校 验 技术 ， 发 现 数据 算 改 
主机 入 侵 检 测 部 署 主机 入 侵 检测 系统 ， 发 现 主机 入 侵 行为 

-wp 主机 状态 监测 部 署 主机 状态 监测 系统 ， 随 时 掌握 主机 运行 状态 

部 署 网 络 入侵 检测 系统 ， 发 现 网 络 人 侵 行为 

网 络 状态 监测 部 署 网 络 状态 监测 系统 ， 随 时 掌握 网 络 运行 状态 
安全 审计 在 各 系统 单元 中 配备 安全 审计 ， 以 发 现 深层 安全 漏洞 和 安全 事件 
安全 监督 、 安 全 检查 “| ”实行 持续 有 效 的 安全 监督 ， 预 演 应 急 响 应 计划 
故障 修复 、 事 故 排除 “| 确保 能 够 随时 获取 故障 修复 与 事故 排除 的 技术 人 员 和 软 硬 件 工具 
设施 备份 与 恢复 对 于 关键 设施 ， 配 备 设施 备份 与 恢复 系统 

响应 系统 备份 与 恢复 对 于 关键 系统 ， 配 备 系统 备份 与 饮 复 系 


\Response) | 数据 备份 与 恢复 对 于 关键 数据 ， 配 备 数据 备份 与 恢复 系统 





















恢复 信道 备份 与 恢复 对 于 关键 信道 ， 配 备 设 信道 份 与 恢复 系统 
(Recovery) 应 用 备份 与 恢复 对 于 关键 应 用 ， 配 备 应 用 备份 与 恢复 系 多 


应 急 响应 按照 应 急 啊 应 计划 处 理应 急事 件 
安全 事件 处 理 按照 安全 事件 处 理 找 出 原因 、 追 究 责任 、 总 结 经 验 、 提 出 改进 





2. 信 息 安全 保障 技术 框架 


信息 安全 保障 技术 框架 (Information Assurance Technical Framework，IATF) 由 美国 国家 安全 局 (National Security 
Agency，NSA) 发 布 ， 最 初 是 为 美国 政府 和 工业 信息 基础 设施 提供 安全 保障 的 技术 指南 。1IATF 提 出 了 深度 防御 的 战略 思想 ， 首 
先 ， 人 、 技 术 和 操作 (也 称 “ 运 行 维护 ”) 是 深度 防御 的 3 个 主要 层面 ， 即 讨论 人 在 技术 支持 下 运行 维护 的 信息 安全 保障 问题 ， 
这 三 者 之 间 的 关系 如 图 1-3 所 示 ， 深 度 防御 措施 如 表 1-4 所 示 ; 其 次 ， 在 技术 上 深度 防御 战略 将 信息 系统 的 安全 保护 解构 为 保护 
计算 环境 、 保 护 区 域 边界 、 保 护 网 络 和 基础 设施 ， 以 及 支持 性 基础 设施 建设 4 个 方面 ， 并 描述 了 这 4 个 方面 分 层 多 点 的 技术 安全 
保障 方案 。 
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图 1-3 ”深度 防御 战略 层面 
表 1-4 深度 防御 一 一 人 、 技 术 、 操 作 











人 操作 (运行 维护 ) 
口 安全 策略 
口 策略 和 流程 ed 
卫 a 口 认证 和 认可 
口 培训 和 意识 口 IA 体系 框架 区 域 口 风险 评估 
口 物理 安全 D IA 准则 (安全 、 互 操作 性 和 PKI) ep or 
口 人 员 安全 仑 口 已 评 估 产 : 品 的 采购 集成 口 Se 理 
口 系统 安全 管理 口 系统 风险 评估 et cl PR 
口 设施 措施 口 攻击 检测 和 告警 响应 
有 ~ 
商 坟 坎 口 恢复 和 重建 


在 IATF 深 度 防 御 战 略 中 ， 人 、 技 术 和 操作 3 个 层面 强调 技术 ， 并 提供 一 个 框架 进行 多 层 保护 ， 以 此 防范 信息 系统 面临 的 各 种 
威胁 ， 该 方法 使 能 够 攻破 一 层 或 一 类 保护 的 攻击 行为 无 法 破坏 整个 信息 基础 设施 。 


IATF 深 度 防 御 战略 的 基本 原理 是 采用 层次 化 保护 策略 ， 但 不 意味 着 需要 在 网 络 体系 结构 的 各 个 可 能 位 置 实现 信息 安全 保障 
机 制 ， 通 过 在 主要 位 置 实现 适当 的 保护 级 别 ， 便 能 够 依据 需要 实现 有 效 保 护 。 另 外 ， 分 层 策略 允许 在 适当 的 时 候 采 用 低 安全 级 的 


保障 解决 方案 ， 降 低 信息 安全 保障 成 本 ， 同 时 也 允许 在 关键 位 置 (例如 区 域 边界 ) 使 用 高 安全 级 保障 解决 方案 ,确保 系统 的 安全 
性 。 


IATF 通 过 一 个 通用 框架 ， 对 复杂 信息 系统 进行 解构 和 描述 ， 然 后 再 以 此 框架 讨论 信息 系统 的 安全 保护 问题 。IATF 将 信息 系 
统 的 安全 保障 技术 分 为 以 下 4 部 分 : 本 地 的 计算 环境 、 区 域 边界 (本 地 计算 环境 的 外 缘 ) 、 网 络 和 基础 设施 ， 以 及 支撑 性 基础 设 
施 ， 如 图 1-4 所 示 。 在 深度 防御 技术 方案 中 使 用 多 点 防御 和 分 层 防御 原则 。 


(1) 多 点 防御 


由 于 对 手 可 以 从 内 部 或 外 部 多 点 攻击 一 个 目标 ， 必 须 在 多 点 应 用 防护 机 制 以 抵御 攻击 。 最 低 限 度 ， 需 要 防护 以 下 3 类 “焦点 
区 域 ”: 网 络 和 基础 设施 、 区 域 边界 ， 以 及 计算 环境 。 


本 地 计算 环境 网 络 基础 设施 
带 密 级 网 络 的 边界 
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图 1-4 信息 安全 保障 技术 框架 范围 


1) 对 网 络 和 基础 设施 的 保护 包括 : 保护 本 地 和 广域网 络 以 抵抗 拒绝 服务 攻击 (Denial of Service，DoS) ， 确 保 网 络 的 可 
用 性 ; 对 网 络 上 传送 的 数据 提供 机 密 性 保护 ， 用 加 密 和 信息 流 安全 手段 对 抗 被 动 监 听 ， 防 止 用 户 信息 流 和 网 络 基础 设施 控制 信息 
被 监听 和 泄露 ; 对 网 络 上 传送 的 数据 提供 完整 性 保护 ， 防 止 数据 纂 改 、 伪 造 和 重 放 攻 击 ， 以 及 由 于 环境 因素 (如 电磁 干扰 等 ) 引 
起 的 数据 突变 。 


2) 对 区 域 边界 的 保护 包括 : 在 区 域 边界 处 部 署 防火 墙 和 入 侵 检测 系统 (Intrusion Detection System，1IDS) 等 安全 设 
备 ， 抵 抗 和 检测 网 络 主动 攻击 ， 保 证 物理 和 逻辑 边界 能 受到 适当 的 保护 ; 保证 区 域 间 交换 的 数据 或 通过 远程 访问 交换 的 数据 能 
受到 保护 ， 避 免 不 适 当 的 泄露 ; 对 那些 由 于 技术 或 配置 问题 不 能 保护 自己 区 域内 信息 的 系统 提供 边界 保护 ;对 流 过 区 域 边界 的 重 
要 信息 进行 风险 评估 以 确定 相应 的 保护 措施 ， 对 可 能 破坏 内 部 区 域 的 外 部 系统 或 力量 进行 防范 ;对 从 区 域外 进行 访问 的 用 户 进行 


强身 份 认证 。 


对 计算 环境 的 保护 包括 : 提供 对 客户 机 和 服务 器 的 访问 控制 以 便 抵抗 来 自 内 部 人 员 的 各 种 攻击 和 破坏 ， 保 证 客户 机 、 服 务 器 
以 及 应 用 系统 能 够 抵抗 拒绝 服务 攻击 ， 防 止 客户 机 、 服 务 器 和 应 用 系统 的 非 授 权 使 用 ， 保 证 数据 免 遭 非 授权 泄露 和 算 改 ; 保证 对 
客户 机 和 服务 器 的 操作 遵循 配置 指南 并 及 时 安装 所 有 适用 的 补丁 ; 维持 所 有 客户 机 和 服务 器 的 配置 管理 ， 对 所 有 变更 进行 管理 和 
控制 。 


(2) 分 层 防御 


在 敌手 和 它 的 目标 之 间 配 备 多 种 安全 机 制 ， 每 种 机 制 都 应 包括 保护 和 检测 两 种 手段 ， 这 些 手段 增加 了 敌手 被 检测 出 来 的 几 
率 ， 减 少 了 他 们 成 功 攻击 或 渗透 的 机 会 。 在 网 络 外 部 和 内 部 边界 部 署 伐 套 防 火 墙 (与 入 侵 检测 结合 ) 是 分 层 防御 的 典型 实例 ， 其 
中 内 部 防火 墙 支 持 更 细 粒 度 的 访问 控制 和 数据 过 滤 。 表 1-5 列 出 了 常见 攻击 类 型 的 分 层 防御 方法 。 这 种 分 层 防御 机 制 提 高 了 安全 
防护 的 坚固 性 ， 加 大 了 攻击 成 功 的 难度 ， 延 长 了 有 效 防护 时 间 ， 能 显著 提升 信息 安全 保障 能 力 。 


表 1-5 分 层 防 御 示 例 


攻击 类 型 第 一 层 防线 第 二 层 防 线 





被 动 攻击 链 路 和 网 络 层 加 密 及 数据 流 安全 安全 的 应 用 

E 动 攻击 保卫 计算 环境 

内 部 物理 和 人 员 安 全 认证 的 访问 控制 、 审 计 
接近 攻击 物理 和 人 员 安 全 技术 监督 措施 





1.3 “信息 系统 安全 保障 概念 与 异型 


满足 不 同 需求 具有 各 种 功能 的 信息 系统 是 信息 化 社会 构成 的 基础 ， 信 息 系统 安全 是 确保 信息 系统 结构 与 相关 元 素 的 安全 ， 以 
及 与 此 相关 的 各 种 安全 技术 、 安 全 服务 和 安全 管理 的 总 和 。 与 信息 安全 相 比 ， 信 息 系统 安全 更 具有 体系 性 、 可 设计 性 、 可 实现 性 
和 可 操作 性 。 


1.3.1 ”信息 系统 安全 保障 概念 

舍 息 系统 安全 保障 是 在 信息 系统 的 整个 生命 周期 中 ， 从 技术 、 管 理 、 工 程 和 人 员 等 方面 提出 安全 保障 要 求 ， 确 保 信息 系统 的 
保密 性 、 完 整 性 和 可 用 性 ， 降 低 安全 风险 到 可 接受 的 程度 ， 从 而 保障 系统 实现 组 织 机 构 的 使 命 。 

1. 信 息 系 统 


言 息 系统 是 具有 集成 性 的 系统 ， 每 一 个 组 织 中 信息 流动 的 总 和 都 构成 了 一 个 信息 系统 。 可 以 认为 ， 信 息 系统 是 根据 一 定 的 需 
要 来 进行 输入 、 系 统 控制 、 数 据 处 理 、 数 据 存 储 与 输出 等 活动 所 涉及 的 所 有 因素 的 综合 体 ， 如 图 1-5 所 示 。 现 代 信 息 系统 是 以 计 
算 机 为 基础 ， 包 括 人 员 、 硬 件 、 软 件 、 数 据 4 种 基本 资源 。 


系统 控制 


输入 


数据 存 全 





图 1-5 信息 系统 


人 员 包 括 系统 用 户 和 系统 专业 人 员 。 系 统 用 户 是 信息 系统 的 使 用 者 ， 他 们 是 利用 信息 系统 或 通过 它 产 生 信息 的 人 ; 系统 专业 
人 员 包 括 系统 分 析 人 员 、 程 序 编写 人 员 与 系统 操作 人 员 。 系 统 分 析 人 员 根 据 用 户 的 信息 需求 设计 对 应 的 信息 系统 ; 程序 编写 人 员 
根据 分 析 人 员 的 说 明 书 准备 计算 机 程序 ;系统 操作 人 员 主 要 负责 对 信息 系统 的 操作 。 


硬件 资源 包括 计算 机 系统 和 载体 。 计 算 机 系统 包括 中 央 处 理 器 及 其 相关 的 外 部 设备 ， 如 图 像 监控 、 磁 盘 驱动 器 、 打 印 机 和 扫 
描 仪 等 ;载体 包括 数据 资源 的 存储 介质 材料 ， 如 硬盘 、 磁 带 和 光盘 等 。 


软件 资源 包括 所 有 信息 处 理 调用 的 指令 ， 包 括 指示 和 控制 计算 机 硬件 的 操作 性 指令 (程序 ) 和 信息 处 理 中 使 用 的 过 程 指令 。 
程序 包括 操作 系统 程序 、 电 子 表格 程序 、 文 字 处 理 程序 等 。 过 程 包括 数据 输入 流程 、 错 误 改 正 流程 、 数 据 传送 流程 等 。 


数据 资源 包括 : 由 数字 、 字 母 以 及 其 他 字符 组 成 ， 摘 述 组 织 活动 和 其 他 事情 的 字母 数字 型 数据 ; 句子 与 段落 组 成 的 文本 数 
据 ; 图 形 和 图 表 形 式 的 图 像 数据 ; 记录 人 与 其 他 声音 的 音频 数据 。 


满足 不 同 需求 的 、 具 有 各 种 功能 的 信息 系统 构成 了 信息 化 社会 的 基础 ， 它 提高 了 社会 各 个 行业 和 部 门 的 生产 和 管理 效率 ， 方 
便 了 人 类 的 日 常生 活 ， 推 动 了 社会 的 发 展 前 进 。 


2. 信 息 系统 安全 保障 


言 息 系 统 处 于 不 断 变化 的 过 程 ， 在 任何 一 个 时 间 点 上 ， 系 统 安全 状态 与 其 过 去 的 历史 密切 相关 ， 过 去 决定 现在 。 因 此 ,信息 
系统 安全 保障 是 与 信息 系统 的 规划 、 设 计 、 实 现 和 运行 等 生命 周期 密切 相关 的 。 这 些 活动 包括 覆盖 系统 全 生命 周期 的 管理 活动 ， 
系统 从 无 到 有 的 工程 活动 ， 系 统 从 概念 到 设计 的 架构 活动 等 。 


图 1-6 说 明 信 息 系统 安全 保障 中 相关 概念 之 间 的 天 系 。 
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图 1-6 信息 系统 安全 保障 相关 概念 和 关系 
(1) 风险 


言 息 安全 风险 产生 的 因素 主要 有 信息 系统 自身 存在 的 漏洞 和 来 自 系 统 外 部 的 威胁 。 信 息 系统 运行 环境 中 存在 具有 特定 威胁 动 
机 的 威胁 源 ， 通 过 使 用 各 种 攻击 方法 ,利用 信息 系统 的 各 种 脆弱 性 ， 对 信息 系统 造成 一 定 的 不 良 影响 ， 由 此 引发 信息 安全 问题 和 
事件 。 


(2) 保障 


言 息 安 全 保障 就 是 针对 信息 系统 在 运行 环境 中 所 面临 的 各 种 风险 ， 制 定 信息 安 全 保障 策略 ， 在 策略 指导 下 ， 设 计 并 实现 信息 
安全 保障 架构 或 模型 ， 采 取 技 术 、 管 理 等 安全 保障 措施 ， 将 风险 控制 到 可 接受 的 范围 和 程度 ， 从 而 实现 其 业务 使 命 。 


(3) 使 命 


描述 了 信息 系统 在 设计 、 执 行 、 测 试 、 运 行 、 维 护 、 废 弃 整个 生命 周期 中 运行 的 需求 和 目标 。 信 息 系 统 的 使 命 与 其 安全 保障 
密 不 可 分 ， 需 要 通过 信息 系统 安全 措施 来 保障 目标 的 正确 执行 。 随 着 信息 系统 面临 的 威胁 及 运行 环境 的 变化 ， 安 全 保障 也 需要 提 
供 相应 的 保障 措施 ， 从 而 保障 信息 系统 的 正确 运行 。 


风险 管理 是 信息 安全 保障 工作 的 基本 方法 。 信 息 安全 保障 应 当 以 风险 管理 为 基础 ， 针 对 可 能 存在 的 各 种 威胁 和 自身 弱点 ， 采 
取 有 针对 性 的 防范 措施 。 信 息 安 全 不 是 追求 绝对 的 安全 ， 追 求 的 是 可 管控 的 安全 风险 。 最 适宜 的 信息 安全 策略 就 是 最 优 的 风险 管 
理 对 策 ， 这 是 一 个 在 有 限 资源 前 提 下 的 最 优选 择 问 题 。 信 息 系统 防范 措施 不 足 会 造成 直接 损失 ， 会 影响 业务 系统 的 正常 运行 ， 也 

造成 不 良 影响 和 损失 。 也 就 是 说 ,信息 安全 保障 的 问题 就 是 安全 的 效用 问题 ， 要 从 经 济 、 技 术 、 管 理 的 可 行 性 和 有 效 性 上 做 出 
权衡 和 取舍。 


1.3.2 ”信息 系统 安全 保障 模型 


在 国家 标准 《信息 系统 安全 保障 评估 框架 第 一 部 分 : 简介 和 一 般 模 型 》 (GB/T 20274.1 一 2006) 中 描述 了 信息 系统 安全 保 
障 模型 ， 该 模型 包 合 保 障 要 素 、 生 命 周 期 和 安全 特征 3 个 方面 ， 如 图 1-7 所 示 。 





图 1-7 信息 系统 安全 保障 模型 


其 中 ， 安 全 特征 是 指 信息 系 统 是 信息 产生 、 传 输 、 存 储 和 处 理 的 载体 ， 信 息 系统 保障 的 基本 目标 就 是 保证 其 所 创建 、 传 输 、 
存储 和 处 理 信息 的 保密 性 、 完 整 性 和 可 用 性 ; 生命 周期 是 指 信息 系统 安全 保障 应 贯穿 信息 系统 的 整个 生命 周期 ， 包 括 规划 组 织 、 
开发 采购 、 实 施 交 付 、 运 行 维护 和 废弃 5 个 阶段 ， 以 获得 信息 系统 安全 保障 能 力 的 持续 性 ;保障 要 素 是 指 信息 系统 安全 保障 需要 
从 技术 、 工 程 、 管 理 和 人 员 4 个 领域 进行 综合 保障 ， 由 合格 的 信息 安全 专业 人 员 ， 使 用 合格 的 信息 安全 技术 和 产品 ， 通 过 规范 、 
可 持续 性 改进 的 工程 过 程 能 力 和 管理 能 力 进行 建设 及 运行 维护 ， 保 障 信息 系统 安全 。 


由 图 1-7 可 以 看 出 ， 该 信息 系统 安全 保障 模型 将 风险 和 策略 作为 信息 系统 安全 保障 的 基础 和 核心 。 首 先 ， 强 调 信息 系统 安全 


保障 持续 发 展 的 动态 安全 模型 ， 即 信息 系统 安全 保障 应 该 贯穿 于 整个 信息 系统 生命 周期 的 全 过 程 ; 其次， 强调 综合 保障 的 观念 ， 
言 息 系 统 的 安全 保障 是 通过 综合 技术 、 管 理 、 工 程 与 人 员 的 安全 保障 来 实施 和 实现 信息 系统 的 安全 保障 目标 ， 通 过 对 信息 系统 的 
技术 、 管 理 、 工 程 和 人 员 的 评估 ， 提 供 对 信息 系统 安全 保障 的 信心 ; 第 三 ， 以 风险 和 策略 为 基础 ， 在 整个 信息 系统 的 生命 周期 中 
实施 技术 、 管 理 、 工 程 和 人 员 保 障 要 素 ， 从 而 使 信息 系统 安全 保障 实现 信息 安全 的 安全 特征 ， 达 到 保障 组 织 机 构 执 行 其 使 命 的 根 
本 目的 。 


在 这 个 模型 中 ， 更 强调 信息 系统 所 处 的 运行 环境 、 信 息 系统 的 生命 周期 和 信息 系统 安全 保障 的 概念 。 信 息 系统 生命 周期 有 各 
种 各 样 的 模型 ， 信 息 系统 安全 保障 模型 中 的 信息 系统 生命 周期 模型 是 基于 这 些 模型 的 一 个 简单 、 抽 象 的 概念 性 说 明 模型 ， 它 的 主 
要 用 途 在 于 对 信息 系统 生命 周期 模型 及 保障 方法 进行 说 明 。 在 信息 系统 安全 保障 具体 操作 时 ， 可 根据 实际 环境 和 要 求 进行 改动 和 
细 化 。 强 调 信 息 系 统 生命 周期 ， 是 因为 信息 安全 保障 是 要 达到 履 盖 整个 生命 周期 的 、 动 态 持续 性 的 长 效 安 全 ， 而 不 是 仪 在 某 时 间 
点 下 保证 安全 性 。 


1. 信 息 系统 安全 保障 安全 特征 


信息 安全 保障 的 安全 特征 就 是 保护 信息 系统 所 创建 、 传 给、 存储 和 处 理 信息 的 保密 性 、 完 整 性 和 可 用 性 等 安全 特征 不 被 破 
息 


坏 。 但 信息 安全 保障 的 目标 不 仅仅 是 保护 信息 和 信息 处 理 设施 等 资产 的 安全 ， 更 重要 的 是 通过 保障 资产 的 安全 来 保障 信息 系统 的 
安全 ， 进 而 来 保障 信息 系统 所 支撑 业务 的 安全 ， 从 而 达到 实现 组 织 机 构 使 命 的 目的 。 


2. 信 息 系统 安全 保障 生命 周期 


在 信息 系统 安全 保障 模型 中 ， 信 息 系统 的 生命 周期 和 保障 要 素 不 是 相互 孤立 的 ， 它 们 相互 关联 、 密 不 可 分 ， 图 1-8 为 信息 系 
统 安全 保障 生命 周期 的 安全 保障 要 素 。 
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图 1-8 信息 系统 安全 保障 生命 周期 的 安全 保障 要 素 


信息 系统 的 整个 生命 周期 可 以 抽象 成 计划 组 织 、 开 发 采购 、 实 施 交 付 、 运 行 维护 和 废弃 五 个 阶段 ， 在 运行 维护 阶段 变更 ， 以 
产生 反馈 ， 形 成 信息 系统 生命 周期 完整 的 闭环 结构 。 在 信息 系统 生命 周期 中 的 任何 时 间 点 上 ， 都 需要 综合 信息 系统 安全 保障 的 技 
术 、 管 理 、 工 程 和 人 员 保障 要 素 。 下 面 分 别 对 这 五 个 阶段 进行 简要 介绍 。 


(1) 计划 组 织 阶 段 


单位 的 使 命 和 业务 要 求 产 生 了 信息 系统 安全 保障 建设 和 使 用 的 需求 。 在 此 阶段 ， 信 息 系统 的 风险 及 策略 应 加 入 至 信息 系统 建 
设 和 使 用 的 决策 中 ， 从 信息 系统 建设 开始 就 应 该 综合 考虑 系统 的 安全 保障 要 求 ， 使 信息 系统 的 建设 和 信息 系统 安全 建设 同步 规 
划 、 同 步 实 施 。 


(2) 开发 采购 阶段 


开发 采购 阶段 是 计划 组 织 阶段 的 细 化 、 深 入 和 具体 体现 。 在 此 阶段 ， 应 进行 系统 需求 分 析 、 考 虑 系统 运行 要 求 、 设 计 系统 体 
系 以 及 相关 的 预算 申请 和 项 目 准备 等 管理 活动 ， 克 服 传统 的 、 基 于 具体 技术 或 产品 的 片面 性 ， 基 于 系统 需求 、 风 险 和 策略 ， 将 信 
息 系统 安全 保障 作为 一 个 整体 进行 系统 的 设计 和 建设 ， 建 立信 息 系 统 安 全 保障 整体 规划 和 全 局 视野 。 组 织 可 以 根据 具体 要 求 ， 评 
佑 系统 整体 的 技术 、 管 理 安全 保障 规划 或 设计 ， 保 证 对 信息 系统 的 整体 规划 满足 组 织 机 构 的 建设 要 求 和 国家 、 行 业 或 组 织 机 构 的 
其 他 要 求 。 


(3) 实施 交付 阶段 

在 实施 交付 阶段 ， 单 位 可 以 对 承建 方 的 安全 服务 资格 和 信息 安全 专业 人 员 资 格 有 所 要 求 ， 确 保 施 工 组 织 的 服务 能 力 ， 还 可 以 
息 系 统 安 全 保障 的 工程 保障 对 施工 过 程 进行 监理 和 评估 ， 确 保 最 终 交 付 系统 的 安全 性 。 

(4) 运行 维护 阶段 


信息 系统 进入 运行 维护 阶段 后 ， 需 要 对 信息 系统 的 管理 、 运 行 维护 和 使 用 人 员 的 能 力 等 方面 进行 综合 保障 ， 这 是 信息 系统 得 
以 安全 、 正 常 运行 的 根本 保证 。 此 外 ， 信 息 系统 投入 运行 后 并 不 是 一 成 不 变 的 ， 它 随 着 业务 和 需求 的 变更 、 外 界 环境 的 变更 产生 
新 的 要 求 或 增强 原 有 的 要 求 ， 重 新 进入 信息 系统 的 计划 组 织 阶段 。 


(5) 废弃 阶段 

当 信息 系统 的 保障 不 能 满足 现 有 要 求 时 ， 信 息 系 统 进入 废弃 阶段 。 

通过 在 信息 系统 生命 周期 的 所 有 阶段 融入 信息 系统 安全 保障 概念 ， 确 保 信息 系统 的 持续 动态 安全 保障 。 
3. 信 息 系统 安全 保障 要 素 


在 空间 维度 上 ， 信 息 系统 安全 需要 从 技术 、 工 程 、 管 理 和 人 员 4 个 领域 进行 综合 保障 。 在 安全 技术 方面 ， 不 仅 要 考虑 具体 的 
产品 和 技术 ， 更 要 考虑 信息 系统 的 安全 技术 体系 架构 ;在 安全 管理 方面 ， 不 仅 要 考虑 基本 安全 管理 实践 ， 更 要 结合 组 织 特点 建立 
相应 的 安全 管理 体系 ， 形 成 长 效 和 持续 改进 的 安全 管理 机 制 ; 在 安全 工程 方面 ， 不 仪 要 考虑 信息 系统 建设 的 最 终结 果 ， 更 要 结合 
系统 工程 的 方法 ， 注 重工 程 过 程 各 个 阶段 的 规范 化 实施 ; 在 人 员 安全 方面 ， 要 考虑 与 信息 系统 相关 的 所 有 人 员 (包括 规划 者 、 设 
计 者 、 管 理 者 、 运 行 维护 者 、 评 佑 者 、 使 用 者 等 ) 所 应 具备 的 信息 安全 专业 知识 和 能 力 。 


(1) 信息 安全 技术 

常用 信息 安全 技术 主要 包括 以 下 类 型 。 

1) 密码 技术 : 密码 技术 及 应 用 涵盖 了 数据 处 理 过 程 的 各 个 环节 ， 如 数据 加 密 、 密 码 分 析 、 数 字 签名 、 身 份 识别 和 秘密 分 享 
等 。 通 过 以 密码 学 为 核心 的 信息 安全 理论 与 技术 来 保证 达到 数据 的 机 密 性 和 完整 性 等 要 求 。 


2) 访问 控制 技术 : 访问 控制 技术 是 在 为 用 户 提供 系统 资源 最 大 限度 共享 的 基础 上 ， 对 用 户 的 访问 权 进 行 管 理 ， 防 止 对 信息 
的 非 授权 算 改 和 滥用 。 访 问 控制 对 经 过 身份 鉴别 后 的 合法 用 户 提供 所 需要 的 且 经 过 授权 的 服务 ， 拒 绝 用 户 越权 的 服务 请 求 ， 保 证 
用 户 在 系统 安全 策略 下 有 序 工作 。 


3) 网 络 安全 技术 : 网 络 安全 技术 包括 网 络 协 议 安全 、 防 火 墙 、 入 侵 检测 系统 /入 侵 防 御 系 统 (Intrusion Prevention 
System，IPS) 、 安 全 管理 中 心 (Security Operations Cente，SOC) 、 统 一 威胁 管理 (Unified Threat 
Management，UTM) 等 。 这 些 技术 主要 是 保护 网 络 的 安全 ， 阻 止 网 络 入 侵 攻 击 行为 。 防 火 墙 是 一 个 位 于 可 信 网 络 和 不 可 信 网 
络 之 间 的 边界 防护 系统 。 防 病毒 网 关 对 基于 超 文 本 传输 协议 (Hypertext Transfer Protocol，HTTP) 、 文 件 传输 协议 (File 


Transfer Protocol，FTP) 、 简 单 邮件 传送 协议 (Simple Mail Transfer Protocol，SMTP) 、 邮 局 协议 版 本 3 (Post Office 
Protocol 3，POP3) 、 安 全 超 文 本 传输 协议 (Hypertext Transfer Protocol over Secure Socket Layer，HTTPS) 等 入 侵 网 络 
内 部 的 病毒 进行 过 滤 。 入 侵 检测 系统 是 一 种 对 网 络 传输 进行 即时 监视 ， 在 发 现 可 疑 传输 时 发 出 警报 的 网 络 安全 设备 。 入 侵 防御 系 
统 是 监视 网 络 传输 行为 的 安全 技术 ， 它 能 够 即时 的 中 断 、 调 整 或 隔离 一 些 异常 或 者 具有 伤害 性 的 网 络 传输 行为 。 


4) 操作 系统 与 数据 库 安全 技术 : 操作 系统 安全 技术 主要 包括 身份 鉴别 、 访 问 控制 、 文 件 系统 安全 、 安 全 审计 等 方面 。 数 据 
库 安 全 技术 包括 数据 库 的 安全 特性 和 安全 功能 ， 数 据 库 完整 性 要 求 和 备份 恢复 ， 以 及 数据 库 安 全 防护 、 安 全 监控 和 安全 审计 等 。 


5) 安全 漏洞 与 恶意 代码 防护 技术 : 安全 漏洞 与 恶意 代码 防护 技术 包括 减少 不 同 成 因 和 类 别 的 安全 漏洞 ， 发 现 和 修复 这 些 漏 
洞 的 方法 ; 针对 不 同 恶意 代码 加 载 、 隐 藏 和 自我 保护 技术 的 恶意 代码 的 检测 及 清除 方法 等 。 


6) 软件 安全 开发 技术 : 软件 安全 开发 技术 包括 软件 安全 开发 各 天 键 阶段 应 采取 的 方法 和 措施 ， 减 少 和 降低 软件 脆弱 性 以 应 
对 外 部 威胁 ， 确 保 软件 安全 。 


(2) 信息 安全 管理 
言 息 安全 管理 主要 包含 以 下 内 容 。 


1) 信息 安全 管理 体系 。 信 息 安全 管理 体系 是 整体 管理 体系 的 一 部 分 ， 也 是 组 织 在 整体 或 特定 范围 内 建立 信息 安全 方针 和 目 
标 ， 并 完成 这 些 目标 所 用 方法 的 体系 。 基 于 对 业务 风险 的 认识 ,信息 安全 管理 体系 包括 建立 、 实 施 、 运 作 、 监 视 、 评 审 、 保 持 和 
改进 信息 安全 等 一 系列 管理 活动 ， 它 是 组 织 结 构 、 方 针 策略 、 计 划 活 动 、 目 标 与 原则 、 人 员 与 责任 、 过 程 与 方法 、 资 源 等 诸多 要 
素 的 集合 。 











2) 信息 安全 风险 管理 。 信 息 安 全 管理 就 是 依据 安全 标准 和 安全 需求 ， 对 信息 、 信 息 载体 和 信息 环境 进行 安全 管理 以 达到 安 
全 目标 。 风 险 管理 贯穿 于 整个 信息 系统 生命 周期 ， 包 括 背 景 建立 、 风 险 评估 、 风 险 处 理 、 批 准 监 督 、 监 控 审 查 和 沟通 咨询 6 个 方 
面 的 内 容 。 其 中 ， 背 景 建立 、 风 险 评估 、 风 险 处 理 和 批准 监督 是 信息 安全 风险 管理 的 4 个 基本 步骤 ， 监 控 审 查 和 沟通 咨询 则 贯穿 
于 这 4 个 基本 步骤 的 始终 。 


3) 信息 安全 控制 措施 。 信 息 安 全 控制 措施 是 管理 信息 安全 风险 的 具体 手段 和 方法 。 将 风险 控制 在 可 接受 的 范围 内 ， 这 依赖 
于 组 织 部 署 的 各 种 安全 措施 。 合 理 的 控制 措施 集 应 综合 技术 、 管 理 、 物 理 、 法 律 、 行 政 等 各 种 方法 ， 威 慑 安全 违规 人 员 甚至 犯罪 
人 员 ， 预 防 、 检 测 安全 事件 的 发 生 ， 并 将 遭受 破坏 的 系统 恢复 到 正常 状态 。 确 定 、 部 署 并 维护 这 种 综合 全 方位 的 控制 措施 是 组 织 
实施 信息 安全 管理 的 重要 组 成 部 分 。 通 常 ， 组 织 需要 从 安全 方针 、 信 息 安全 组 织 、 资 产 管理 、 人 力 资源 安全 、 物 理 和 环境 安全 、 
通信 和 操作 管理 、 访 问 控制 、 信 息 系 统 获取 开发 和 维护 、 信 息 安全 事件 管理 、 业 务 连续 性 管理 和 符合 性 11 个 方面 ， 综 合 考虑 部 
署 合 理 的 控制 措施 。 


4) 应 急 响 应 与 灾难 恢复 。 部 署 信息 安全 控制 措施 的 目的 之 一 是 防止 发 生 信息 安全 事件 ， 但 由 于 信息 系统 内 部 固有 的 脆弱 性 
和 外 在 的 各 种 威胁 ， 很 难 彻底 杜绝 信息 安全 事件 的 发 生 。 所 以 ， 应 及 时 有 效 地 响应 与 处 理 信息 安 全 事件 ， 尽 可 能 降低 事件 损失 ， 
避免 事件 升级 ， 确 保 在 组 织 能 够 承受 的 时 间 范 围 内 恢复 信息 系统 和 业务 的 运营 。 应 急 响 应 工作 管理 过 程 包括 准备 、 检 测 、 遏 制 、 
根除 、 恢 复 和 跟踪 总 结 6 个 阶段 。 信 息 系 统 灾 难 恢复 管理 过 程 包 括 灾难 恢复 需求 分 析 、 灾 难 恢复 策略 制定 、 灾 难 恢 复 策略 实现 及 
灾难 恢复 预案 制定 与 管理 4 个 步骤 。 应 急 响 应 与 灾难 恢复 关系 到 一 个 组 织 的 生存 与 发 展 。 


5) 信息 安全 等 级 保护 。 信 息 安全 等 级 保护 是 我 国信 息 安全 管理 的 一 项 基本 制度 。 它 将 信息 系统 按 其 重要 程度 以 及 受到 破坏 
后 对 相应 客体 〈 即 公民 、 法 人 和 其 他 组 织 的 ) 合法 权益 、 社 会 秩序 、 公 共 利 益 和 国家 安全 侵害 的 严重 程度 ， 将 信息 系统 由 低 到 高 
分 为 5 级 。 每 一 保护 级 别 的 信息 系统 需要 满足 本 级 的 基本 安全 要 求 ， 落 实 相关 安全 措施 ， 以 获得 相应 级 别 的 安全 保护 能 力 ， 对 抗 
各 类 安全 威胁 。 信 息 安 全 等 级 保护 的 实施 包括 系统 定 级 、 安 全 建设 整改 、 自 查 、 等 级 测评 、 系 统 备 案 、 监 督 检查 6 个 过 程 。 


(3) 信息 安全 工程 


规范 的 信息 安全 工程 过 程 包括 发 掘 信息 保护 需要 、 定 义 信息 系统 安全 要 求 、 设 计 系 统 安全 体系 结构 、 开 发 详细 安全 设计 和 实 
现 系 统 安 全 5 个 阶段 及 相应 活动 ， 同 时 还 包括 对 每 个 阶段 过 程 信息 保护 有 效 性 的 评估 。 


信息 系统 安全 工程 (Information System Security Engineering，1SSE) 是 一 种 信息 安全 工程 方法 ， 它 从 信息 系统 工程 生 
命 周期 的 全 过 程 来 考虑 安全 性 ， 以 确保 最 终 交 付 的 工程 的 安全 性 。 


系统 安全 工程 能 力 成 熟 度 模型 (Systems Security Engineering Capability Maturity Model，SSE-CMM) 描述 了 一 个 组 
织 的 系统 安全 工程 过 程 必须 包含 的 基本 特征 ， 这 些 特征 是 完善 的 安全 工程 保证 ， 也 是 系统 安全 工程 实施 的 度量 标准 ， 同 时 还 是 一 


AN 


个 易于 理解 的 评估 系统 安全 工程 实施 的 框架 。 应 用 SSE-CMM 可 以 度量 和 改进 工程 组 织 的 信息 安全 工程 能 力 。 
信息 安全 工程 监理 ， 是 信息 安全 工程 实施 过 程 中 一 种 常见 的 保障 机 制 。 


(4) 信息 安全 人 员 


在 信息 安全 保障 诸 要 素 中 ， 人 是 最 关键 也 是 最 活跃 的 要 素 。 网 络 攻防 对 抗 ， 最 终 较量 的 是 攻防 双方 人 员 的 能 力 。 组 织 机 构 应 
通过 以 下 几 方 面 的 努力 ， 建 立 一 个 完整 的 信息 安全 人 才 体系 。 


对 所 有 员工 ， 进 行 信息 安全 保障 意识 教育 ， 诸 如 采取 内 部 培训 、 在 组 织 机 构 网 站 上 发 布 相关 信息 等 方式 ， 增 强 所 有 员工 的 安 
全 意识 ;对 信息 系统 应 用 岗位 的 员工 ， 进 行 信息 安全 保障 基本 技能 培训 ; 对 信息 安全 专业 人 员 ， 应 通过 对 信息 安全 保障 、 管 理 、 
技术 、 工 程 ， 以 及 信息 安全 法 规 、 政 策 与 标准 等 知识 的 学 习 ， 全 面 掌握 信息 安全 的 基本 理论 、 技 术 和 方法 ， 丰 富 的 信息 安全 经 验 
需要 通过 该 岗位 的 长 期 工作 积累 获得 ; 信息 安全 研发 人 员 ， 除 了 需要 具备 信息 安全 基本 技能 外 ， 还 应 培训 其 安全 研发 相关 知识 ， 
包括 软件 安全 需求 分 析 、 安 全 设计 原则 、 安 全 编码 、 安 全 测试 等 内 容 ; 信息 安全 审计 人 员 ， 则 需要 通过 培训 使 其 掌握 信息 安全 审 


计 方 法 、 信 息 安全 审计 的 规划 与 组 织 、 信 息 安 全 审计 实务 等 内 容 。 


六 
uk 
阅 


1. 在 各 个 信息 安全 发 展 阶段 ， 组 织 面 临 的 主要 威胁 与 采取 的 主要 防护 措施 有 什么 不 同 ? 信息 安全 的 发 展 趋势 是 怎样 的 ? 
2. 信 息 安全 问题 产生 的 根本 原因 有 哪些 ”这 些 原 因 之 间 的 关系 如 何 ? 

3. 信 息 安全 保障 要 素 有 哪些 ”这 些 保障 要 素 与 信息 系统 生命 周期 之 间 的 关系 如 何 ? 

4. 利 用 P2DR 模 型 进行 信息 安全 保障 的 思想 和 原理 是 什么 ? 


5. 如 何 理解 信息 安全 保障 技术 框架 的 深度 防御 战略 ? 


第 2 章 ”信息 安全 保障 实践 


阅读 提示 ”信息 安全 保障 能 力 是 通过 国家 和 组 织 层 面 的 信息 安全 保障 实践 活动 获得 的 。 本 章 主 要 介绍 信息 化 发 达 国家 和 我 国 


信息 安全 保障 情况 、 工 作 内 容 和 过 程 等 方面 的 知识 ， 使 读者 能 够 了 解 国外 信息 安全 状况 、 安 全 保障 方面 的 主要 举措 和 动态 ， 掌 握 
我 国信 息 安 全 保障 工作 的 基本 思路 、 原 则 和 方法 。 


2.1 ”信息 安全 保障 现状 


信息 安全 是 国家 安全 的 重要 组 成 部 分 。 为 了 确保 国家 安全 这 一 首要 目标 ， 各 国 均 高 度 重视 信息 安全 保障 工作 ， 将 天 键 基础 设 
施 列 为 信息 安全 保障 的 核心 内 容 ， 分 别 从 战略 、 组 织 结构 、 军 事 、 外 交 和 科技 等 方面 加 强 信息 安全 保障 工作 力度 。 在 战略 方面 ， 
发 布 网 络 安全 战略 、 政 策 评估 报告 、 推 进 计划 等 ; 在 组 织 方面 ， 通 过 设立 网 络 安全 协调 机 构 和 协调 官 ， 强 化 集中 领导 和 综合 协 
调 ; 在 军事 方面 ， 陆 续 成 立 网 络 战 司令 部 ， 开 展 大 规模 攻防 演练 ， 招 募 网 络 战 人 才 ， 加 快 军 事 网 络 和 通信 系统 的 升级 改造 ， 网 络 
战 成 为 热门 话题 ; 在 外 交 方 面 ， 信 息 安全 问题 的 国际 交流 与 对 话 增多 ， 美 欧盟 友之 间 网 络 协同 攻防 倾向 愈加 明显 ， 信 息 安全 成 为 
国际 多 边 或 双边 谈判 的 实质 性 内 容 ; 在 科技 方面 ， 各 国 寻求 走 突破 性 跨越 式 发 展 路 线 推进 技术 创新 ， 力 求 在 科技 发 展 上 保持 和 占 
据 优势 地 位 。 


2.1.1 ”国外 信息 安全 保障 现状 


提供 网 络 与 信息 安全 保障 是 信息 化 时 代 各 国 维护 国家 安全 和 利益 的 首要 任务 之 一 。 面 对 日 益 复 杂 的 网 络 安全 形势 和 层出不穷 
的 信息 安全 事件 ， 各 个 国家 ， 尤 其 是 信息 化 依赖 度 高 的 国家 ， 大 多 将 网 络 与 信息 安全 防护 列 为 国家 安全 优先 事项 。 美 国 、 俄 罗 
斯 、 德 国 、 法 国 、 英 国 、 日 本 、 加 拿 大、 印度 和 澳大利亚 等 国 相继 出 台 了 国家 网 络 与 信息 安全 战略 ， 通 过 建设 本 国 网 络 与 信息 安 
全 机 构 ， 加 强 网 络 安 全 防护 力量 ， 改 进 技术 手段 ， 提 升 综合 信息 安全 保障 能 力 ， 以 防范 和 遏制 国家 面临 的 日 益 严 峻 的 信息 安全 威 
胁 。 


1. 美 国 
(1) 美国 信息 安全 保障 战略 


美国 是 全 球 最 早 将 “网 络 信息 安全 战略 ”提升 至 “国家 安全 战略 ”高 度 的 国家 。1998 年 5 月 ， 克 林 顿 政府 发 布 了 第 63 号 总 统 
令 (PDD63) 《克林顿 政府 对 关键 基础 设施 保护 的 政策 》，1998 年 10 月 ， 克 林 顿 政府 发 布 了 《新 世纪 国家 安全 战略 》， 这 两 份 
文件 均 提出 了 对 国家 关键 基础 设施 信息 系统 进行 保护 的 构想 。2000 年 1 月 ， 克 林 顿 政府 发 布 了 《信息 系统 保护 国家 计划 V1.0》， 
提出 美国 政府 在 21 世 纪 之 初 若干 年 的 网 络 空间 安全 发 展 规划 。 


“9.11” 事 件 之 后 布什 政府 意识 到 信息 安全 形势 的 严峻 性 ，2001 年 10 月 16 日 发 布 了 第 13231 号 行政 令 《信息 时 代 的 关键 基 
础 设施 保护 》， 宣 布 成 立 “总统 关键 基础 设施 保护 委员 会 ” (Prisident Cirtical Infrastructure Protect Board，PCIPB) ， 代 
表 政 府 全 面 负责 国家 的 网 络 空间 安全 工作 。2003 年 2 月 ， 在 征求 国民 意见 的 基础 上 ， 发 布 了 《保护 网 际 空间 国家 战略 》 的 正式 版 
本 ， 对 原 草案 版 本 做 了 大 篇 幅 的 改动 ， 重 点 突出 国家 政府 层面 上 的 战略 任务 。 


2008 年 1 月 2 日 ， 美 国 以 国家 安全 54 号 总 统 令 / 国 土 安全 23 号 总 统 令 的 双 总 统 令 方式 发 布 了 《国家 网 络 安全 综合 倡议 》。 
CNCI 计 划 建 立 三 道 防线 : 第 一 道 防 线 ， 减 少 漏洞 和 隐患 ， 预 防 入 侵 ; 第 二 道 防线 ， 全 面 应 对 各 类 威胁 ， 增 强 反 应 能 力 ， 加 强 供 
应 链 安全 抵御 各 种 威胁 ; 第 三 道 防线 ， 强 化 未 来 安全 环境 ， 增 强 研 究 、 开 发 和 教育 ， 投 资 先进 技术 。 同 时 ，CNCI 还 明确 了 12 项 
任务 ， 包 括 可 信和 互联 网 连接 (Trusted Internet Connection，TIC) 、 网 络 入 侵 检测 系统 、 网 络 入 侵 防护 系统 、 科 技 研发 、 态 
势 感知 、 网 络 反 间 、 增 强 涉 密 安全 、 加 强 网 络 教育 、“ 超 越 示 来 ”技术 人 研发、 网 络 威慑 战略 、 全 球 供应 链 风 险 管理 机 制 和 公私 协 


作 。 


2010 年 5 月 ， 奥 巴 马 政府 提出 了 其 执政 之 后 的 首 个 国家 安全 战略 ， 即 美国 《国家 安全 战略 》。 此 战略 从 国家 安全 的 角度 对 网 
络 空 间 的 战略 布局 和 网 络 信息 安全 提出 了 明确 要 求 ， 在 涉及 美国 国家 安全 各 个 领域 的 描述 中 ， 共 有 24 处 提 到 网 络 空间 或 网 络 信 
息 安全 ， 并 专门 设置 了 一 个 章节 阐述 网 络 安全 的 重要 性 ， 这 在 美国 历年 来 的 国家 安全 战略 文件 中 尚 属 首 次 。 随 后 ， 美 国 先后 出 台 
了 多 个 专门 针对 网 络 空间 的 战略 性 文件 ， 其 中 ， 最 具 代表 性 也 最 能 反映 国家 战略 在 外 交 、 国 防 领域 的 规划 文件 是 2011 年 第 二 季 
度 先后 颁布 的 《网 络 空间 国际 战略 》 (以 下 简称 《国际 战略 》) 和 《网 络 空间 行动 战略 》 (以 下 简称 《行动 战略 》) 。 这 两 份 战 
略 相 互 呼应 ， 从 外 交 和 国防 两 方面 同时 着 手 精心 经 营 网 络 空间 并 保护 其 安全 ，“ 软 ”、“ 硬 ” 兼 施 。《 国 际 战略 》 制 定 了 网 络 空 
间 国 际 行为 规范 ， 包 括 “ 树 立 自由 的 基础 ”、 “尊重 财产 ”、 “保护 隐私 ”、“ 防 止 犯罪 ”和 “正当 防卫 ”等 方面 ， 力 图 向 世人 
展示 网 络 法 制 社会 的 景象 。《 行 动 战略 》 扮 演 了 这 个 网 络 法 制 社会 的 守护 者 角色 。《 国 际 战 略 》 提 倡 全 世界 共同 来 建设 一 个 “ 开 
放 、 互 动 、 安 人 全、 可靠” 的 未 来 网 络 空间 ，《 行 动 战略 》 已 经 将 网 络 空间 纳入 到 了 美军 的 作战 空间 ， 国 防 部 把 网 络 空间 视 为 一 个 
作战 领域 进行 组 织 、 训 练 和 装备 ， 使 国防 部 能 够 充分 利用 这 个 空间 的 优势 和 潜能 。 简 而 言 之 ， 和 白宫 在 《国际 战略 》 中 展示 的 任 
何 “ 软 实力 ”， 五 角 大 楼 均 在 《行动 战略 》 中 将 其 转换 成 了 “ 硬 保障 ”。 


(2) 美国 信息 安全 保障 的 重点 对 象 


美国 明确 将 关键 基础 设施 作为 其 信息 安全 保障 的 重点 。 关 键 基础 设施 定义 为 关系 到 美国 生死 存亡 的 物理 和 虚拟 的 信息 系统 和 
资产 ， 这 些 系 统 和 资产 的 功能 丧失 或 遭 到 破坏 ， 会 对 国家 安全 、 经 济 稳定 、 公 众 健康 与 安全 产生 严重 影响 。 


目前 美国 共有 18 个 关键 基础 设施 和 主要 资源 部 门 ， 包 括 信息 技术 、 电 信 、 化 学 制品 、 商 业 设 施 、 大 坝 、 商 用 核反应 推 及 材 
料 和 废弃 物 、 政 府 设施 、 交 通 系统 、 应 急 服 务 、 邮 政和 货运 服务 、 农 业 和 食品 、 饮 用 水 和 废水 处 理 系统 、 公 共 健 康 和 医疗 、 能 
源 、 银 行 和 金融 、 国 家 纪念 碑 和 象征 性 标志 、 国 防 工业 基地 和 关键 制造 业 。 


(3) 美国 信息 安全 保障 组 织 机 构 


美国 联邦 政府 负责 信息 安全 保障 工作 的 最 高 官员 是 网 络 安全 协调 官 ， 负 责 领导 白宫 “网 络 安全 办 公 室 ” ， 制 定 和 发 布 国家 信 
息 安 全 政策 ， 首 任 网 络 安全 协调 官 霍华德 ` 施 密 特 ， 被 喻 为 “网 络 沙皇 ”。 


美国 信息 安全 管理 部 门 包括 国土 安全 部 (Department of Homeland Security，DHS) 、 国 家 安全 局 (NSA) 、 国 防 部 、 
联邦 调查 局 (Federal Bureau of Investigation ，FBI) 、 中 央 情 报 局 (Central Intelligence Agency，CIA) 、 国 家 标准 与 技 
术 研 究 院 (National Institute of Standards and Technology，NIST) 6 个 机 构 ， 具 体 执行 不 同 的 分 管 职责 。 


同时 ， 美 国 重视 政府 部 门 与 非 政府 组 织 、 私 莒 企业 等 机 构 的 合作 ， 包 括 国 家 基础 设施 顾问 委员 会 (National Infrastructure 
Advisory Committee，NIAC) 、 信 息 共 享 和 分 析 中 心 (Information Sharingand Analysis Center，1SAC) 、 国 家 计算 机 安 
全 协会 (National Computer Security Association，NCSA) 等 。 


2. 英 国 


2005 年 ， 英 国政 府 制 定 发 表 了 《信息 保障 管理 框架 》， 作 为 信息 安全 保障 战略 文件 。2009 年 6 月 ， 英 国 发 布 首 份 国家 《网 
络 信息 安全 战略 》 (以 下 简称 《2009 战 略 》) ， 宣 布 成 立 “ 网 络 安全 办 公 室 ” 和 “网 络 安全 运行 中 心 ”， 提 出 建立 新 的 网 络 管 
理 机 构 具 体 措施 。《2009 战 略 》 有 3 条 主线 : 降低 网 络 空间 风险 ， 利 用 网 络 空 间 抓 住 机 遇 ， 提 升 对 网 络 安全 事件 的 响应 能 力 。 
《2009 战 略 》 指 出 要 加 强 政 府 间 的 跨 部 门 协作 以 及 国际 合作 ， 认 为 要 确保 英国 在 网 络 空间 的 利益 不 能 凭借 单个 部 门 实现 ， 必 须 
建立 起 一 个 跨 政治 、 经 济 、 军 事 和 文化 等 领域 ， 甚 至 是 跨国 网 络 安全 组 织 架构 。《2009 战 略 》 的 出 台 标志 着 英国 政府 为 应 对 网 
络 空间 的 威胁 迈 出 了 第 一 步 。 


2011 年 11 月 ， 英 国政 府 又 公布 了 新 的 《网 络 信息 安全 战略 》 (以 下 简称 《2011 战 略 》) ， 目 的 是 建立 更 加 可 信和 更 具 弹 性 


的 网 络 环境 ， 以 实现 经 济 繁荣 ， 保 障 国家 安全 及 公众 安全 。《2011 战 略 》 概 述 了 来 自 其 他 国家 针对 英国 的 恶意 攻击 以 及 大 规模 
的 网 络 犯罪 活动 ， 并 将 其 作为 国家 安全 面临 的 首要 威胁 。 英 国 在 接 下 来 的 4 年 中 将 耗资 6.5 亿 英镑 来 应 对 网 络 威胁 ， 以 提升 本 国 的 
安全 水 平 。 与 《2009 战 略 》 相 比 ，《2011 战 略 》 更 具 可 操作 性 ， 更 加 强调 国际 合作 ， 并 力图 充分 发 挥 优势 ， 促 进 英 国企 业 提 升 
网 络 安全 产品 和 服务 在 海外 市 场 的 占有 率 。 


英国 注重 信息 安全 标准 组 织 建 设 ， 重 视 将 本 国标 准 向 海外 推广 ， 积 极 参与 国际 信息 安全 标准 制定 ， 英 国标 准 协 会 (British 
Standards Institute，BSI) 制定 的 BS 7799 标 准 已 成 为 国际 标准 ISO/IEC 27000 系 列 的 核心 内 容 。 


英国 信息 安全 保障 强调 网 络 监控 ， 规 定 和 警方 和 国家 安全 、 税 务 等 监察 部 门 有 权 监 控 电 子 邮 件 (Electronic MAIL，E-mail) 
和 移动 电话 等 系统 ， 成 为 西方 大 国 中 唯一 的 政府 可 以 要 求 网 络 用 户 交 出 加 密 资 料 密 钥 的 国家 。 


英国 现 共 有 10 个 关键 基础 设施 ， 包 括 通 信 、 应 急 服 务 (救护 、 消 防 、 警 察 、 营 救 等 ) 、 能 源 (电力 、 石 油 等 ) 、 金 融 、 食 
品 、 政 府 和 公共 服务 、 公 共 安 全 、 健 康 (医疗 保健 、 公 共 卫 生 ) 、 交 通 和 水 处 理 。 英 国 负责 基础 设施 保护 的 机 构 是 国家 基础 设施 
安全 协调 中 心 ， 它 是 一 个 跨 部 门 的 信息 安全 机 构 ， 下 设 英国 计算 机 应 急 响 应 小 组 。 


德国 是 世界 上 第 一 个 建立 电子 政务 标准 的 国家 。1991 年 ， 德 国 在 内 政 部 下 建立 信息 安全 局 (Bundesamt fur Sicherheit in 
der Informationstechnik，BSI) ,负责 处 理 与 网 络 空间 相关 的 所 有 问题 。 德 国 重视 关键 基础 设施 信息 安全 保障 ,建立 了 日 耳 曼 
人 的 “基线 ” 防 御 。1997 年 ， 内 政 部 建立 了 部 际 关键 基础 设施 工作 组 ， 联 邦 政府 各 部 在 此 机 制 下 协调 各 自 的 行动 ; 1999 年 ， 德 
国政 府 制定 了 《德国 21 世 纪 的 信息 社会 》 的 行动 计划 ， 这 是 该 国 第 一 个 信息 化 战略 行动 纲领 ， 其 实施 重点 是 教育 和 工业 部 门 。 
德国 还 把 推行 电子 政务 作为 实施 信息 化 战略 的 重要 组 成 部 分 。2000 年 ， 德 国政 府 制定 了 《2005 年 联邦 政府 在 线 计 划 》， 随 后 又 
出 台 了 《2006 年 德国 信息 社会 行动 纲领 》 ， 对 信息 化 建设 所 涉及 的 相关 方面 提出 了 明确 的 要 求 ， 特 别 强 调 要 通过 政府 创造 环 
境 ， 实 现 政府 与 产业 界 及 社会 各 界 的 合作 ， 确 保 国家 信息 化 的 进一步 发 展 。 此 纲领 清晰 地 明确 了 信息 安全 目标 ， 以 及 相关 的 配套 
法 律 ， 如 《电信 法 》、《 电 子 签名 法 》 和 《电子 商务 法 》 等 。 在 信息 安全 技术 研发 及 应 用 方面 ， 此 纲领 要 求 开展 信息 安全 认证 ， 
推广 新 的 安全 技术 ， 与 |T 企 业 合作 开展 安全 技术 趋势 研究 ， 大 力 研发 和 使 用 密码 技术 、 安 全 可 靠 的 构件 和 生物 识别 技术 等 。 
2005 年 出 台 了 《信息 基础 设施 保护 计划 》 和 《关键 基础 设施 保护 的 基线 保护 概念 》。2010 年 11 月 ， 德 国政 府 启动 的 “数字 德国 
2015” 战 略 ， 致 力 于 提升 每 个 公民 、 企 业 和 政府 部 门 在 数字 世界 中 的 安全 和 信任 感 。 


德国 政府 近年 来 对 信息 安全 的 重视 程度 大 幅 提升 ， 特 别 是 国际 网 络 攻击 发 展 的 新 趋势 给 德国 带 来 了 巨大 的 影响 。2010 年 专 
门 针 对 西门 子 工业 控制 系统 的 “ 震 网 ” (Stuxnet) 病毒 不 仅 让 热衷 于 网 络 战 、 电 子 战 的 人 士 精神 振奋 ， 还 使 西门 子 这 一 德国 工 
业 品 牌 受到 剧烈 冲击 ， 德 国 因此 更 加 坚定 了 提高 信息 安全 保障 的 决心 。 


基于 以 上 背景 ，2011 年 2 月 ， 德 国联 邦 政府 授权 内 政 部 颁布 了 首 个 国家 层面 的 网 络 安全 战略 ， 即 《德国 网 络 安 全 战略 》。 此 
战略 的 主体 包括 “威胁 评估 ”、 “战略 环境 ”、“ 安 全 战略 基本 原理 ”、 “战略 目标 和 方法 ”等 5 个 方面 。 此 战略 要 求 联邦 政府 
特别 关注 以 下 10 个 领域 : 保护 天 键 的 信息 基础 设施 ; 保护 公众 和 中 小 型 企业 信息 系统 的 安全 ; 加 强 公 众 领 域 系统 安全 ; 建立 国 
家 网 络 响应 中 心 ; 成 立国 家 网 络 安全 协调 委员 会 ;控制 网 络 空间 的 犯罪 ;在 欧洲 和 全 球 范围 内 促进 网 络 安 全 的 有 效 合作 ; 采用 可 
靠 和 可 信和 的 信息 技术 ;联邦 政府 雇员 在 信息 安全 领域 的 职业 拓展 ; 回应 网 络 攻击 的 方式 。 该 战略 的 目标 是 将 德国 的 网 络 空间 分 解 
为 重要 信息 基础 设施 、 公 众 和 中 小 型 企业 信息 系统 、 公 共和 领域 信息 系统 3 个 子 空间 加 以 保护 。 该 战略 设计 新 成 立 一 个 中 心 和 一 个 
委员 会 ， 即 国家 网 络 响应 中 心 和 国家 网 络 安全 协调 委员 会 ， 明 确 了 网 络 安 全 管理 部 门 及 各 自 的 职责 和 相互 关系 。 该 战略 的 保障 措 
施 从 技术 发 展 、 人 员 培 养 和 机 构 优化 3 个 方面 来 适应 未 来 网 络 安全 的 不 确定 态势 。 


德国 现 有 7 个 关键 基础 设施 ， 包 括 金融 、 应 急 服务 、 能 源 电力、 石油 和 天 然 气 ) 、 政 府 和 社会 管理 、 医 疗 保健 、 电 信 ( 信 
息 和 通信 技术 ) 和 交通 。 


4. 法 国 


2003 年 12 月 ， 法 国 总 理 办 公 室 提出 《强化 信息 系统 安全 国家 计划 》， 并 得 到 政府 批准 实施 ， 该 计划 明确 了 4 大 目标 : 确保 国 
家 领导 通信 安全 ， 确 保 政 府 信息 通信 安全 ， 建 立 计 算 机 反攻 击 能 力 ， 将 法 国信 息 系统 安全 纳入 欧盟 安全 政策 范围 。 


2008 年 7 月 ， 法 国政 府 发 布 了 《法 国 国防 与 国家 安全 白皮书 》 (以 下 简称 《2008 国 防 白 皮 书 》) ， 将 网 络 信息 安全 提升 至 
国家 安全 的 高 度 ， 信 息 安全 纳入 国家 安全 的 总 体 框架 ， 为 下 一 步 制定 专门 的 信息 安全 战略 确定 了 基调 。 在 机 构 设置 方面 ， 
《2008 国 防 白皮书 》 提 出 了 必须 成 立 一 个 由 总 理 府 领导 的 网 络 与 信息 安全 部 门 。 法 国 参议 院 也 在 同一 时 间 发 布 了 一 份 名 为 《网 
络 防 御 与 国家 安全 》 的 报告 ， 其 核心 内 容 与 《2008 国 防 白皮书 》 大 致 相同 。 


2009 年 7 月 ， 根 据 《2008 国 防 白皮书 》 的 要 求 ， 法 国正 式 成 立 了 隶属 于 总 理 府 的 “法 国 网 络 与 信息 安全 局 ” (France' s 
Network and Information Security Agency，FNISA) ， 该 局 由 “国防 与 国家 安全 总 秘书 处 ”直接 管理 。2010 年 7 月 ， 法 国 总 
统 宣布 将 全 法 信息 系统 的 防御 职责 也 一 并 移交 给 FNISA， 进 一 步 增强 了 FNISA 的 职权 。 


2011 年 2 月 ， 法 国 国防 与 国家 安全 总 秘书 授权 FNISA 颁 布 了 法 国 历史 上 第 一 份 国家 信息 安全 战略 报告 《信息 系统 防御 与 安 
全 : 法 国 战略 》 (以 下 简称 《法 国 战略 》) ， 作 为 对 《2008 国 防 白 皮 书 》 的 响应 。《 法 国 战略 》 为 法 国 制定 的 信息 安全 路 线 图 
包括 4 大 战略 目标 和 7 项 具体 举措 。4 大 战略 目标 是 “成 为 网 络 安全 强国 ”、 “保护 主权 信息 ， 确 保 决策 能 力 ”、 “保护 国家 基础 
设施 ”和 “确保 网 络 空间 安全 ”。 为 了 实现 上 述 战 略 目标 而 制定 的 7 项 具体 举措 包括 跟踪 与 分 析 ; 探测 、 预 警 和 响应 ; 提升 并 保 
持 安全 能 力 ; 保护 国家 信息 系统 及 关键 基础 设施 ;改善 法 律 对 虚拟 社会 的 适应 性 ; 拓展 国际 合作 ; 提高 安全 意识 。 


5. 俄 罗斯 


俄罗斯 作为 前 苏联 解体 后 的 主权 国家 ， 信 息 化 建设 从 20 世 纪 90 年 代 中 期 开始 ， 迟 于 西方 国家 。1997 年 ， 俄 罗斯 制定 了 《 俄 
罗斯 国家 安全 纲要 》， 将 其 作为 国家 信息 安全 战略 ， 要 求 工 作 中 注重 安全 测评 ， 实 施 信息 安全 分 级 管理 ，2000 年 9 月 俄 总 统 正式 
批准 执行 。 


2002 年 1 月 ， 俄 罗斯 正式 发 布 了 《2002 一 2010 年 俄罗斯 信息 化 建设 目标 纲要 》， 作 为 信息 化 建设 的 纲领 性 文件 ， 正 式 启 动 
了 俄罗斯 的 信息 化 建设 。 自 此 ， 俄 罗斯 信息 安全 战略 建设 步伐 加 大 。 随 后 ， 俄 罗斯 实施 信息 安全 保障 政策 ， 建 立信 息 安全 保障 系 
统 和 法 律 平台 ， 提 出 《国家 信息 安全 学 说 》， 补 充 和 完善 了 国家 信息 安全 战略 框架 。2008 年 ， 俄 总 统 又 批准 了 《俄罗斯 信息 社 
会 发 展 战略 》 和 《确保 俄罗斯 联邦 信息 安全 的 措施 》。 


2010 年 10 月 ， 俄 联邦 总 理 普京 签署 了 《俄罗斯 联邦 国家 “信息 社会 ”纲要 (2011 一 2020) 》 (以 下 简称 《纲要 》) ， 为 未 
来 十 年 俄罗斯 的 信息 社会 发 展 作出 全 面 规划 。 对 比 其 他 国家 网 络 安全 战略 ， 此 《纲要 》 的 篇 幅 较 长 ， 任 务 明确 ， 措 施 详细 ， 显 现 
出 俄罗斯 政府 对 “信息 社会 ”前 景 和 安全 的 高 度 重 视 。《 纲 要 》 将 信息 化 建设 提升 到 国家 战略 的 高 度 ， 同 时 对 政府 各 部 门 在 信息 
化 建设 中 所 具有 的 职权 进行 了 清晰 界定 。《 纲 要 》 分 9 个 部 分 对 保障 措施 实施 工作 的 各 方面 进行 了 介绍 ， 包 括 实施 的 阶段 性 期 
限 、 实 施 管理 、 财 政 拨款 、 项 目 特点 、 保 障 目标 实现 的 法 律 调节 手段 等 。 


俄罗斯 信息 安全 重点 保护 对 象 包括 经 济 、 国 内 和 外 交 政 策 、 科 学 和 技术 、 国 家 信息 和 通信 系统 、 国 防 、 司 法 、 灾 害 响 应 等 。 


俄罗斯 的 信息 安全 管理 机 构 包 括 联邦 安全 理事 会 、 联 邦 安全 局 (国家 安全 管理 机 关 、 信 息 安 全 工作 主管 和 执法 机 关 ) 、 技 术 
和 出 口 控制 局 、 联 邦 保卫 局 、 信 息 技术 和 通信 部 。 


6. 小 结 


从 上 述 各 国信 息 安全 保障 工作 情况 来 看 ， 各 国 历史 、 国 情 和 文化 不 同 ， 具 体 的 重点 保护 对 象 也 有 所 差异 ， 但 共同 特点 是 将 与 
国家 安全 、 社 会 稳定 和 民生 密切 相关 的 关键 基础 设施 作为 信息 安全 保障 的 重点 ， 所 有 国家 最 常 被 提 到 | 的 关键 部 门 都 是 现代 化 社会 
的 核心 部 门 ， 也 是 被 破坏 后 可 能 造成 大 规模 灾害 的 部 门 。 各 国 积极 推动 信息 安全 立法 和 标准 规范 建设 ， 普 遍 重视 信息 安全 事件 应 


急 响 应 、 监 管 和 安全 测评 ， 重 视 公 私 合作 伙伴 关系 ， 一 方面 加 强 政府 管理 力度 ， 另 一 方面 充分 利用 社会 资源 。 


少数 国家 (如 美国 ) 在 中 央 政 府 一 级 设立 机 构 专门 负责 处 理 网 络 信息 安全 问题 ， 大 多 数 国 家 信息 安全 管理 职能 由 不 同 政府 周 
门 的 多 个 机 构 和 单位 共同 承担 ， 机 构 的 设立 以 及 机 构 在 信息 安全 管理 中 的 影响 力 ， 受 到 资源 配置 、 历 史 经 验 以 及 决策 者 对 信息 安 
全 威胁 总 体 认识 程度 的 影响 。 


2.1.2 ”我 国信 息 安 全 保障 现状 


在 信息 安全 领域 ， 一 方面 ， 其 他 国家 给 我 国 施加 的 压力 越 来 越 大 ， 来 自 国外 的 网 络 攻击 不 断 增多 ; 另 一 方面 ,我国 的 工业 基 
础 设施 还 比较 落后 ， 安 全 保障 能 力 不 足 ， 国 家 信息 安全 战略 和 全 局 统筹 的 机 制 还 没有 形成 。 因 此 ， 加 快 推进 信息 化 建设 ， 建 立 健 
全 信息 安全 保障 体系 ， 加 强 统 筹 协调 和 项 层 设 计 ， 切 实 增强 信息 安全 保障 能 力 ， 维 护 国 家 安全 ， 是 时 代 赋 予 我 们 的 使 命 。 


1. 我 国信 息 化 与 信息 安全 形势 
(1) 我 国信 息 化 形势 


言 息 化 是 当今 世界 发 展 的 潮流 ， 我 国正 处 于 信息 化 进程 的 重要 推进 期 ， 信 息 化 进程 发 展 迅猛 ， 在 促进 经 济 发 展 和 社会 进步 等 
方面 ， 均 取得 了 很 好 的 效益 。 


我 国信 息 化 工作 始 于 20 世 纪 90 年 代 ， 在 海关 、 银 行 和 税务 等 涉及 国计民生 的 行业 启动 重大 信息 化 应 用 工程 试点 ( 即 “ 金 
关 ”、“ 金 卡 ”、“ 金 税 ” 等 工程 ) ，2000 年 党 的 十 五 届 五 中 全 会 将 信息 化 提升 到 国家 战略 高 度 ，2002 年 党 的 十 六 大 进一步 作 
出 了 “以 信息 化 带动 工业 化 、 以 工业 化 促进 信息 化 ”的 战略 部 署 。2007 年 党 的 十 七 大 报告 将 信息 化 作为 与 工业 化 、 城 镇 化 、 市 
场 化 、 国 际 化 并 举 的 国家 重大 形势 和 任务 。 


在 这 种 时 代 背 景 下 ， 近 年 来 我 国 互 联网 蓬勃 发 展 。 截 至 2013 年 底 ， 我 国 上 网 用 户 总 数 已 经 达到 6.18 亿 ， 全 年 共计 新 增 网 民 


民 中 使 用 手机 上 网 的 人 群 占 比 由 2012 年 底 的 74.596 提 升 至 81.0%， 手 机 网 民 规模 继续 保持 稳定 增长 ; 我 国 域名 总 数 为 1844 万 
个 ， 其 中 “.CN” 域 名 总 数 达 到 1083 万 个 ， 较 上 一 年 同期 增长 44.2%， 在 中 国 域名 总 数 中 占 比 达 58.7%。 网 络 技术 不 断 推 陈 出 
新 ， 网 络 融合 步伐 不 断 加 快 ， 产 业 价值 链 不 断 延 伸 ， 并 逐步 完善 ， 网 络 资源 及 各 种 业务 应 用 日 趋 多 样 。 电 子 政务 、 电 子 商 务 、 远 
程 教育 、 远 程 医疗 、 移 动 信息 、 在 线 数字 内 容 等 各 种 网 上 业务 进一步 丰富 。 互 联网 广泛 地 影响 到 经 济 、 生 活 的 方方面面 ， 深 刻 地 
改变 着 人 们 的 学 习 、 工 作 方式 。 


(2) 我 国信 息 安全 形势 


随 着 我 国 国民 经 济 和 社会 信息 化 进程 的 全 面 加 快 ， 网 络 与 信息 系统 的 基础 性 、 全 局 性 作用 日 益 增强 ， 信 息 安全 已 经 成 为 国家 
安全 的 重要 组 成 部 分 。2004 年 党 的 十 六 届 四 中 全 会 ， 将 信息 安全 作为 国家 安全 的 重要 组 成 部 分 ， 明 确 提出 要 确保 “国家 的 政治 
安全 、 经 济 安全 、 文 化 安全 和 信息 安全 ”。 


当前 ， 我 国信 息 安全 环境 日 趋 复杂 ， 网 络 安全 问题 对 互联 网 的 健康 发 展 带 来 日 益 严峻 的 挑战 ， 网 络 安全 事件 的 影响 力 和 破坏 
程度 不 断 扩大 。 迅 速 友 展 的 信息 技术 与 信息 服务 不 断 超越 现 有 的 互联 网 监管 体制 ， 网 上 有 害 信息 传播 、 病 毒 入 侵 、 网 络 诈骗 、 黑 
客 攻 击 日 趋 严重 ， 网 络 泄密 事件 屡 有 发 生 ， 网 络 犯罪 呈 快 速 上 升 趋势 ， 各 种 危及 国家 安全 和 社会 稳定 的 网 络 违法 和 犯罪 活动 越 来 
越 猩 狐 ， 尤 其 是 在 利益 的 驱动 下 更 加 有 组 织 、 有 目标 ， 隐 蔽 性 和 复杂 性 更 强 ， 危 害 性 更 大 。 这 些 问 题 主要 体现 在 以 下 几 个 方面 。 


1) 针对 信息 网 络 的 破坏 活动 日 益 严 重 ， 网 络 违法 犯罪 案件 逐年 上 升 。 


鉴于 互联 网 具有 传播 速度 快 、 履 盖 面 广 、 隐 蔽 性 强 和 无 国界 等 特点 ， 传 统领 域 的 违法 犯罪 活动 逐渐 向 互联 网 渗透 ， 网 上 违法 
犯罪 案件 逐年 大 幅 上 升 ， 犯 罪 类 型 不 断 扩 展 ， 作 案 手 段 不 断 翻新 ， 危 害 日 趋 严重 。 越 来 越 多 的 高 新 技术 被 违法 犯罪 分 子 所 利用 ， 
安全 防范 的 难度 越 来 越 大 ， 安 全 保障 的 要 求 越 来 越 高 。 


2) 安全 漏洞 和 安全 隐患 增多 ， 对 信息 安全 构成 严重 威胁 。 


言 息 安全 事件 的 发 生 ， 绝 大 多 数 都 与 利用 、 误 用 信息 技术 自身 的 缺陷 有 关 ， 安 全 漏洞 和 安全 隐患 的 存在 已 经 成 为 我 国 网 络 与 
信息 安全 的 长 期 威胁 。 首 先 ， 漏 洞 客观 、 广 泛 存 在 ， 易 为 人 所 用 。 信 息 技 术 的 漏洞 无 处 不 在 ， 涉 及 软 、 硬 件 等 各 个 方面 ， 成 为 病 
毒 、 蠕 虫 和 黑客 攻击 等 安全 问题 的 重要 根源 ， 是 网 络 环境 下 失 、 窃 密 的 重大 隐患 。 其 次 ,漏洞 数量 多 ， 消 除 难 度 大 。 截 至 2013 
年 底 ， 根 据 中 国 国家 信息 安全 漏洞 库 (China National Vulnerability Database of Information Security，CNNVD) 的 统 
计 ， 已 知 漏洞 达 63722 个 ， 并 且 随 信息 技术 和 产品 的 广泛 应 用 出 现 倍增 趋势 ， 同 时 漏洞 从 公开 到 被 利用 的 时 间 间 隔 越 来 越 短 ， 使 
漏洞 消除 工作 变 得 相当 复杂 ， 难 度 很 大 。 最 后 ， 新 业务 、 新 应 用 安全 风险 高 。 随 着 博客 、 对 等 网 络 (Peer-to-Peer 
network，P2P) 等 互联 网 新 业务 、 新 应 用 的 流行 ， 新 的 问题 和 安全 隐患 凸显 ， 这 是 未 来 我 国 网 络 治理 面临 的 难题 之 一 。 


3) 黑客 攻击 、 恶 意 代码 对 重要 信息 系统 安全 造成 严重 影响 。 


重要 信息 系统 一 旦 章 受 黑客 攻击 或 恶意 代码 侵害 ， 后 果 将 十 分 严重 。 轻 则 系统 瘫痪 ， 影 响 社会 和 经 济 活动 ， 重 则 造成 大 学 围 
动荡 。 近 年 来 的 网 络 与 信息 安全 事件 表明 ， 黑 客 攻击 、 恶 意 代 码 对 我 国 重 要 信息 系统 的 危害 已 成 现实 威胁 。 黑 客 攻击 正在 从 以 往 
单纯 的 、 零 散 的 技术 活动 ， 向 有 组 织 、 趋 利 性 、 规 模 化 和 跨国 流动 性 的 方向 发 展 ， 尤 其 是 以 获取 经 济 利益 为 目的 的 信息 技术 犯罪 
增长 迅速 。 


2. 我 国信 息 安全 保障 发 展 阶段 

我 国信 息 安全 保障 工作 先后 经 历 了 启动 、 逐 步 展开 和 积极 推进 、 深 化 落实 3 个 阶段 。 
(1) 局 动 阶段 

2001~2002 年 ， 是 我 国信 息 安全 保障 工作 的 启动 阶段 。 


这 一 时 期 ， 我 国 网 络 与 信息 安全 事件 频 发 且 性 质 严 重 ， 互 联网 协议 (Internet Protocol，IP) 电话 通信 技术 被 恶意 滥用 ， 
数据 走私 和 电话 骚扰 行为 猩 猴 ， 直 接 影响 政府 日 常 工作 和 居民 正常 生活 ， 淫 秽 有 害 信 息 内 容 充斥 互联 网 。 重 要 信息 系统 存在 诸多 
安全 隐患 ， 例 如 ， 卫 星 通信 故障 造成 美元 史 港 元 汇价 异常 ， 引 发 国内 首 例 网 络 炒汇 纠纷 案 ; 深交 所 因 系统 骨 溃 停 市 半天 ， 造 成 直 
接 经 济 损失 和 社会 影响 ， 北 京 首都 国际 机 场 信息 系统 出 现 故障 ， 造 成 上 百 个 航班 延误 ， 数 万 名 旅客 清 留 等 。 


信息 安全 事件 频 发 ， 改 变 了 我 国 对 信息 安全 状况 的 认识 。 我 国 面临 的 信息 安全 问题 已 不 再 是 一 个 局 部 性 和 技术 性 的 问题 ， 而 
是 一 个 跨 领 域 、 跨 行业 、 跨 部 门 的 综合 性 安全 问题 ， 更 是 一 个 影响 国计民生 、 关 了 乎 国家 安全 与 社会 稳定 的 现实 问题 。 为 
此 ，2001 年 ， 国 家 信息 化 领导 小 组 重组 ， 网 络 与 信息 安全 协调 小 组 成 立 ， 我 国信 息 安全 保障 工作 正式 启动 。 


(2) 逐步 展开 与 积极 推进 阶段 
2003~2005 年 ， 我 国信 息 安全 保障 工作 进入 逐步 展开 和 积极 推进 阶段 。 


2003 年 7 月 ， 国 家 信息 化 领导 小 组 根据 国家 信息 化 发 展 的 客观 需求 和 网 络 与 信息 安全 工作 的 现实 需要 ， 制 定 出 台 了 《关于 加 
强 信息 安全 保障 工作 的 意见 》 (中 办 发 27 号 文件 ) ， 明 确 了 “积极 防御 、 综 合 防范 ”的 国家 信息 安全 保障 工作 方针 ， 提 出 了 加 
强 信息 安全 保障 工作 的 总 体 要 求 和 主要 原则 ， 以 及 进一步 提高 信息 安全 保障 工作 能 力 和 水 平 ， 维 护 公 众 利益 和 国家 安全 ， 促 进 信 
息 化 建设 健康 发 展 的 具体 意见 。 


2003~2005 年 ， 我 国信 息 安 全 保障 体系 建设 积极 推进 ， 在 此 阶段 ， 我 国信 息 化 建设 快速 发 展 ， 取 得 了 明显 成 效 。 基 础 信息 


网 络 已 初 具 规模 ， 金 融 、 税 务 、 海 关 、 能 源 、 交 通 和 国防 等 领域 建成 了 一 批 重 要 信息 系统 ， 电 子 商 务 和 电子 政务 快速 发 展 ， 为 国 
民 经 济 和 社会 发 展 做 出 了 积极 贡献 ， 尤 其 是 全 国信 息 安全 保障 工作 会 议 召 开 之 后 ， 各 地 区 、 各 部 门 认 真 贯 彻 落实 会 议 精神 和 27 
号 文件 要 求 ， 各 省 (区 、 市 ) 和 有 关 部 门 陆续 建立 了 网 络 与 信息 安全 协调 小 组 ， 研 究 制定 加 强 信息 安全 保障 工作 的 具体 措施 。 国 
信 办 、 发 改 委 、 教 育 部 、 科 技 部 、 公 安 部 、 国 家 安全 部 、 财 政 部 、 信 息 产 业 部 、 广 电 总 局 、 新 闻 办 、 国 家 认 监 委 、 保 密 局 、 国 密 
办 以 及 军队 有 关 单 位 按照 协调 小 组 的 要 求 ， 认 真 研究 制定 配套 文件 和 措施 ， 做 了 大 量 工 作 。 银 行 、 电 力 、 铁 路 、 海 关 、 税 务 、 证 
券 和 民航 等 重要 信息 系统 的 主管 部 门 也 都 专门 制定 了 落实 措施 ， 加 强 和 改进 本 系统 的 信息 安全 保障 工作 。 信 息 安全 等 级 保护 、 信 
息 安 全 风险 评估 、 网 络 信任 体系 建设 、 信 息 安全 产品 认证 认可 、 信 息 安全 标准 制定 、 信 息 安全 监控 和 信息 安全 应 急 处 理 等 工作 均 
取得 积极 推进 和 明显 进展 。 


(3) 深化 落实 阶段 


2006 年 至 今 ， 我 国信 息 安全 保障 工作 进入 深化 落实 阶段 ， 国 家 信息 安全 保障 体系 建设 取得 实质 性 进展 。 围 绕 中 办 第 27 号 文 
件 开 展 的 各 项 信息 安全 保障 工作 迈 出 了 坚实 步伐 。 信 息 安全 法 律 法 规 、 标 准 化 和 人 才 培 养 等 工作 取得 了 新 成 果 。 信 息 安全 基础 设 
施 和 工程 建设 进一步 完善 ， 信 息 安 全 等 级 保护 和 风险 评估 取得 了 新 进展 。 随 着 中 国信 息 化 进程 不 断 加 快 ， 国 民 经 济 与 社会 信息 化 
水 平 不 断 提高 ， 信 息 化 在 促进 经 济 与 社会 协调 、 稳 定 、 持 续 发 展 过 程 中 ， 发 挥 着 越 来 越 重要 的 作用 。 我 国信 息 安全 保障 工作 取得 
了 明显 成 效 ， 建设 了 一 批 信息 安全 基础 设施 ， 加 强 了 互联 网 信息 内 容 安 全 管理 ， 为 维护 国家 安全 与 社会 稳定 ， 保 障 和 促进 信息 化 
建设 健康 发 展 发 挥 了 重要 作用 。 目 前 ， 我 国 的 信息 安全 保障 工作 正在 稳健 、 扎 实地 步 入 高 速 友 展 的 新 阶段 。 


3. 我 国信 息 安全 保障 基本 思路 


我 国信 息 安全 保障 工作 的 基本 思路 是 : 以 维护 国家 利益 为 根本 出 发 点 ， 服 从 和 服务 于 国家 发 展 和 安全 ， 适 应 国内 改革 开放 不 
断 深入 的 形势 和 全 球 信息 化 加 速 发 展 的 趋势 ， 坚 持 以 人 为 本 、 全 面 协 调 可 持续 的 科学 发 展 观 ， 突 出 保障 重点 ， 推 动 自主 创新 ， 实 
现 跨越 发 展 ， 走 投入 较 少 、 效 益 较 高 的 中 国 特色 信息 安全 保障 建设 和 发 展 之 路 ， 为 国家 发 展 和 社会 建设 提供 有 力 支撑 。 坚 持 用 发 
展 、 改 革 和 开放 的 办 法 解决 面临 的 信息 安全 问题 ， 从 法 律 、 管 理 、 技 术 和 人 才 等 多 方面 入 手 ， 采 取 多 种 安全 措施 动员 和 组 织 全 社 
会 力量 ， 共 同 构建 国家 信息 安全 保障 体系 。 


4. 我 国信 息 安全 保障 目标 
我 国信 息 安全 保障 工作 至 少 需 要 实现 以 下 几 方面 的 目标 。 
(1) 保障 和 促进 信息 化 发 展 


在 实施 国家 信息 化 发 展 战略 中 ， 要 高 度 重视 信息 安全 保障 体系 建设 ， 实 现 信息 化 与 信息 安全 协调 发 展 。 国 家 基础 信息 网 络 、 
重要 信息 系统 以 及 政府 、 企 业 和 公民 的 信息 活动 的 安全 若 不 能 得 到 切实 保障 ， 信 息 化 带 来 的 巨大 经 济 与 社会 效益 就 难以 有 效 发 
挥 ， 信 息 化 发 展 也 会 受到 严重 制约 。 加 强 信息 安全 保障 的 目的 ， 就 是 要 保障 和 促进 信息 化 发 展 ， 而 不 是 以 牺牲 信息 化 发 展 来 换取 
信息 安全 。 采 取 不 上 网 、 不 共享 、 不 互 连 互通 等 传统 封闭 的 方式 保安 全 ， 会 严重 影响 甚至 阻碍 信息 化 发 展 ， 也 不 可 能 从 根本 上 解 
决 信息 安全 保障 问题 。 只 有 继续 大 力 推动 信息 化 建设 ， 全 面 提高 信息 化 发 展 水 平 ， 才 能 为 应 对 各 种 信息 安全 问题 提供 强 有 力 的 物 
质 和 技术 保障 。 只 有 高 度 重视 信息 安全 保障 建设 ， 才 能 形成 健康 有 序 、 安 全 稳定 的 信息 网 络 秩序 ， 才 能 确保 信息 化 进程 稳步 、 快 
速 地 发 展 。 


(2) 维护 企业 与 公民 的 合法 权益 


加 强 信息 安全 保障 是 维护 企业 与 公民 合法 权益 的 重要 前 提 和 根本 保证 。《 全 国人 大 常委 会 关于 维护 互联 网 安全 的 决定 》、 
《中 华人 民 共 和 国电 信条 例 》、《 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 等 有 关 法 律 、 法 规 对 维护 公民 的 通信 自由 、 保 
护 企 业 和 公民 信息 活动 的 权益 都 做 出 了 明确 的 规定 。 依 据 信息 安全 问题 的 发 展 变化 和 从 保护 广大 用 户 安全 的 需要 出 发 ， 我 国正 在 


进一步 修改 和 完善 相关 的 行政 法 规 和 部 门 规章 。 为 切实 维护 企业 和 公民 信息 权益 ， 形 成 良好 、 安 全 、 可 信和 的 信息 网 络 环境 ， 政 府 
执法 部 门 依法 严厉 打击 各 种 形式 的 网 络 违法 犯罪 活动 ， 包 括 手 机 短信 诈骗 、 网 络 金融 欺诈 、 网 上 非法 传销 、 滥 发 垃圾 邮件 、 非 法 
传播 “ 黄 ”、“ 赌 ' 、“ 毒 ” 等。 政府 有 关 部 门 也 依照 相关 法 律 及 程序 ， 对 信息 通信 网 络 的 运行 实行 必要 的 监测 ， 有 效 维护 国家 
言 息 基 础 设施 和 重要 信息 系统 安全 。 


(3) 构建 安全 可 信 的 网 络 信 息 传播 秩序 


我 国 是 世界 上 第 一 大 手机 和 第 二 大 互联 网 国家 。 构 建 更 加 安全 可 靠 、 可 信和 的 互联 网 ， 服 务 于 建立 和 谐 社 会 ， 是 我 国 加 强 信息 
安全 保障 的 一 个 重要 任务 。 由 于 网 络 信息 传播 的 开放 性 、 跨 界 性 、 即 时 性 和 交互 性 等 特点 ， 互 联网 在 为 广大 民众 提供 越 来 越 多 的 
有 用 、 有 益 新 闻 信息 及 其 他 信息 服务 的 同时 ， 也 存在 着 一 些 虚假 和 错误 导向 的 新 闻 人 信息， 以 及 直接 危害 公众 利益 、 民 族 团结 、 
家 统一 、 社 会 稳定 和 国家 安全 的 有 害 信 息 及 违法 活动 。 为 有 效 开展 互联 网 治理 工作 ， 我 国政 府 提出 了 互联 网 管理 的 基本 原则 ， 即 
积极 促进 互联 网 发 展 ， 依 法 管理 ， 鼓 励 行 业 自律 和 公众 监督 ， 旨 在 形成 一 个 可 信和 安全 的 互联 网 信息 空间 。 


(4) 保护 互联 网 知识 产权 


言 息 通信 技术 (Information Communication Technology，ICT) 及 其 应 用 形式 和 服务 的 多 样 化 ， 移 动 通 信 、 有 线 电视 及 
互联 网 之 间 的 互 连 互通 ， 有 力 地 加 快 了 信息 的 交流 与 共享 。 信 息 资 源 的 有 效 开 发 利用 ， 正 在 不 断 地 满足 广大 民众 在 信息 、 文 化 、 
娱乐 和 生活 方面 日 益 增长 的 需求 ， 极 大 地 发 挥 了 信息 化 发 展 带 来 的 经 济 与 社会 效益 。 在 促进 互 连 互通 和 信息 共享 过 程 中 ， 保 护 网 
络 信息 内 容 的 知识 产权 (Intellectual Property Rights，IPR) ， 是 我 国信 息 安全 保障 工作 的 一 项 重要 内 容 和 目标 。 


5. 我 国信 息 安全 保障 的 整体 规划 

我 国 对 信息 安全 保障 工作 的 整体 规划 主要 体现 在 战略 规划 和 政策 规划 两 方面 。 
(1) 战略 规划 

我 国 发 布 了 以 下 文件 ， 从 战略 层面 为 开展 并 推进 信息 安全 保障 工作 进行 了 规划 。 


2005 年 5 月 ， 国 家 信息 化 领导 小 组 颁布 《国家 信息 安全 战略 报告 》 (以 下 简称 《报告 》) ， 将 信息 安全 分 为 基础 信息 网 络 安 
全 、 重 要 信息 系统 安全 和 信息 内 容 安全 3 部 分 ， 从 分 析 当 前 我 国信 息 安 全 形势 和 面临 的 挑战 入 手 ， 提 出 我 国信 息 安 全 的 战略 目 
标 、 主 要 任务 和 方针 ， 并 制定 了 维护 国家 信息 安全 的 主要 对 策 。 





《报告 》 指 出 ， 坚 持 积极 防御 、 综 合 防范 的 方针 ， 立 足 当前 ， 放 眼 长 远 ， 积 极 探索 和 把 握 信 息 化 与 信息 安全 的 内 在 规律 ， 主 
动 应 对 信息 安全 挑战 ， 实 现 信息 化 与 信息 安全 的 协调 发 展 。 信 息 安 全 工作 的 主要 任务 是 按照 信息 化 发 展 和 信息 安全 保障 的 要 求 ， 
不 断 提 高 信息 安全 的 法 律 保障 能 力 、 信 息 安全 的 基础 支撑 能 力 、 网 络 舆 论 宣传 的 驾驭 能 力 、 信 息 对 抗 能 力 和 我 国 在 国际 信息 安全 
领域 的 影响 能 力 ， 建 立 和 完善 维护 国家 信息 安全 的 长 效 机 制 ， 形 成 国家 信息 安全 保障 体系 ， 形 成 网 上 正面 舆论 的 强势 。 加 强 信息 
安全 工作 必须 遵循 的 原则 是 : 坚持 以 安全 保 发 展 、 在 发 展 中 求 安全 ; 坚持 从 实际 出 发 、 保 障 重点 ; 坚持 立法 先行 、 依 法 行政 ; 坚 
持 以 我 为 主 、 管 理 与 技术 并 重 ; 坚持 军民 结合 、 平 战 结合 . 


《报告 》 还 提出 了 维护 我 国家 信息 安全 的 主要 对 策 : 坚持 发 展 是 硬 道理 ， 在 信息 化 发 展 中 解决 信息 安全 问题 ; 加 快 信息 安全 
法 制 建设 ， 提 高 信息 安全 的 法 律 保障 能 力 ; 实施 “安保 工程 ”， 提 高 国家 信息 安全 保障 的 基础 支撑 能 力 ; 加 强 信息 安全 内 容 管 
理 ， 提 高 网 络 熏 论 宣传 的 驾驭 能 力 ; 积极 开展 国际 合作 ， 提 高 我 国 在 国际 信息 安全 领域 的 影响 力 。 


2006 年 3 月 中 共 中 央 办 公 厅 、 国 务 院 办 公 厅 印发 《2006 一 2020 年 国家 信息 化 战略 》 (以 下 简称 《战略 》) 。《 战 略 》 在 信 
息 安 全 领域 提出 了 全 面 加 强国 家 信息 安全 保障 体系 ， 大 力 增 强国 家 信息 安全 保障 能 力 的 战略 目标 。 要 坚持 积极 防御 、 综 合 防范 ， 
探索 和 把 握 信 息 化 与 信息 安全 的 内 在 规律 ， 主 动 应 对 信息 安全 挑战 ， 实 现 信息 化 与 信息 安全 协调 发 展 。 坚 持 立 足 国情 ， 综 合 平衡 
安全 成 本 和 风险 ， 确 保重 点 ， 优 化 信息 安全 资源 配置 。 为 此 ，《 战 略 》 提 出 了 信息 安全 保障 6 项 工作 : 建立 和 完善 信息 安全 等 级 


保护 制度 ， 重 点 保护 基础 信息 网 络 和 关系 国家 安全 、 经 济 命脉 、 社 会 稳定 的 重要 信息 系统 ， 加 强 密码 技术 的 开发 利用 ， 建 设 网 络 
信任 体系 ;加 强 信息 安全 风险 评估 工作 ; 建设 和 完善 信息 安全 监控 体系 ， 提 高 对 网 络 安全 事件 应 对 和 防范 能 力 ， 防 止 有 害 信 息 传 
播 ; 高 度 重 视 信息 安全 应 急 处 置 工作 ， 健 全 完善 信息 安全 应 急 指 挥 和 安全 通报 制度 ， 不 断 完善 信息 安全 应 急 处 置 预 案 ; 促进 资源 
共享 ， 重 视 灾 难 备份 建设 ， 增 强 信 息 基础 设施 和 重要 信息 系统 的 抗 毁 能 力 和 灾难 恢复 能 力 。 


(2) 政策 规划 
我 国 先后 制定 并 发 布 了 以 下 文件 ， 从 政策 层面 为 开展 并 推进 信息 安全 保障 工作 进行 了 规划 。 


《关于 进一步 加 强 互 联网 新 闻 宣 传 和 信息 内 容 安全 管理 工作 的 意见 》 (中 办 发 [2002]8 号 文件 ) 是 完善 我 国信 息 安 全 管理 的 
重要 文件 之 一 ， 它 使 信息 安全 管理 从 基础 信息 网 络 和 重要 信息 系统 安全 保护 扩大 到 对 信息 内 容 的 安全 管理 。 该 文件 强调 要 进一步 
提高 对 加 强 互联 网 新 闻 宣 传 和 信息 内 容 安全 管理 工作 重要 性 的 认识 ， 要 从 促进 社会 经 济 发 展 和 社会 主义 精神 文明 建设 的 高 度 ， 从 
维护 社会 政治 稳定 和 国家 安全 的 高 度 认识 互联 网 新 闻 宣 传 和 信息 内 容 安全 管理 工作 。 该 文件 明确 提出 ， 要 采取 有 力 措施 ， 认 真 做 
好 互联 网 内 容 安全 管理 工作 ; 要 加 强 对 有 害 信 息 内 容 的 监控 ; 要 健全 行政 执法 体系 建设 ， 加 强 执 法 力度 ; 加 强 技 术 防 学 措施 ; 把 
好 审批 关 ， 加 强 日 常 监管 ; 加 强 信息 沟通 ; 加强 互联 网 文化 建设 ; 加 强行 业 自律 ， 倡 导 网 上 文明 。 


《国家 信息 化 领导 小 组 关于 关于 加 强 信息 安全 保障 工作 的 意见 》 (中 办 发 [2003]27 号 文件 ) 由 中 共 中 央 办 公 厅 和 国务 院 办 公 
厅 联 合 下 发 ， 是 我 国信 息 安全 保障 工作 的 基础 性 文件 ， 作 为 国家 信息 安全 保障 工作 的 总 体 指导 ， 黄 定 了 我 国信 息 安 全 保障 体系 的 
构建 方向 。 该 文件 是 我 国信 息 安全 历史 上 最 重要 且 具 有 里 程 碑 意 义 的 文件 之 一 ,确立 了 信息 安全 的 重要 地 位 ， 开 始 从 国家 层面 关 
注 、 重 视 信息 安全 问题 。 该 文件 对 加 强 信息 安全 保障 工作 提出 了 总 体 要 求 和 主要 原则 。 


同时 ， 该 文件 对 信息 安全 保障 工作 提出 了 有 具体 要 求 : 实行 信息 安全 等 级 保护 ， 重 点 保护 基础 信息 网 络 和 关系 国家 安全 、 经 济 
命脉 和 社会 稳定 的 重要 信息 系统 ; 重视 信息 安全 风险 评估 工作 ， 对 网 络 与 信息 系统 安全 的 潜在 威胁 、 薄 弱 环 节 和 防护 措施 等 进行 
分 析 评 佑 ， 对 涉及 国家 秘密 的 信息 系统 ， 要 按照 有 关 保 密 规定 进行 保护 ;加 强 以 密码 技术 为 基础 的 信息 保护 和 网 络 信任 体系 建 
设 ; 建设 和 完善 信息 安全 监控 体系 ， 提 高 对 网 络 攻击 、 病 毒 入 侵 和 网 络 失窃 密 的 防 学 能 力 ， 防 止 有 害 信 息 传播 ; 重视 信息 安全 应 
急 处 理工 作 ， 进 一 步 完 善 国家 信息 安全 应 急 处 理 协 调 机 制 ， 建 立 健全 指挥 协调 机 制 和 信息 安全 通报 制度 ， 加 强 信息 安全 事件 的 应 
急 处 置 工作 ， 同 时 加 强 信息 安全 应 急 支 援 服 务 队伍 建设 ， 鼓 励 社会 力量 参与 灾难 备份 设施 建设 和 提供 技术 服务 ， 提 高 信息 安全 应 
急 响 应 能 力 ; 加 强 信息 安全 技术 研究 开发 ， 推 进 信息 安全 产业 发 展 ， 提 高 自主 创新 能 力 ， 促 进 技术 转化 ， 加 快 产 业 化 进程 ， 逐 步 
形成 基础 信息 网 络 和 重要 信息 系统 以 自主 可 控 设 备 为 主 的 格局 ; 加 强 信息 安全 法 制 建设 和 标准 化 建设 ， 形 成 与 国际 标准 相 衔 接 的 
中 国 特色 的 信息 安全 标准 体系 ; 加 快 信息 安全 人 才 培 养 ， 增 强 全 民 信息 安全 意识 ， 吸 引 和 用 好 高 素质 的 信息 安全 管理 和 技术 人 
才 ; 保证 信息 安全 资金 ， 重 点 支持 信息 安全 基础 性 工作 和 基础 设施 建设 ， 增 加 对 信息 安全 保障 体系 关键 技术 研究 的 资金 投入 ; 加 
强 对 信息 安全 保障 工作 的 领导 ， 建 立 健全 信息 安全 管理 责任 制 。 


《天 于 进一步 加 强 互联 网 管理 工作 的 意见 》 (中 办 发 [2004]32 号 文件 ) 在 强调 充分 认识 加 强 互 联网 管理 工作 的 重要 性 和 紧迫 
性 的 同时 ， 明 确 了 我 国信 息 安全 的 管理 体制 ， 职 责 分 工 更 加 清晰 ， 进 一 步 明确 了 相关 互联 网 管理 部 门 的 职责 ， 提 出 了 互联 网 管理 
的 重点 工作 : 加 强 对 域名 和 IP 地 址 的 基础 管理 ; 建立 互联 网 行业 年 度 审核 制度 ; 集中 开展 网 站 清理 整顿 ， 加 大 打击 淫秽 色情 网 站 
力度 ; 深入 进行 网 吧 专 项 整治 ;加 强 对 违法 和 不 良 信息 的 举报 受理 工作 。32 号 文件 最 后 还 在 探索 建立 互联 网 管理 的 长 效 机 制 方 
面 提出 一 些 具体 要 求 : 加 强 统一 协调 ， 建 立行 业主 管 和 协 管 部 门 紧密 配合 的 网 络 管理 机 制 ; 落实 属地 化 管理 ， 形 成 中 央 和 省 
(区 、 市 ) 两 级 管理 格局 ; 完善 法 律 法 规 ， 依 法 加 强 管理 ;加快 技术 研发 ， 推 进 防 控 体 系 建设 ; 掌握 网 上 舆情 ， 引 导 网 上 熏 论 ; 
健全 行业 组 织 ， 强 化 行业 自律 。 


《天 于 加 强 网 络 文化 建设 和 管理 的 意见 》 (中 办 发 [2007]16 号 文件 ) 是 我 国信 息 安 全 内 容 管理 工作 中 的 重要 文件 之 一 ， 是 为 
应 对 互联 网 等 信息 网 络 普及 ,我国 网 络 文 化 快速 友 展 ， 对 人 们 精神 文化 生活 及 意识 形态 的 影响 日 益 突 出 这 一 现状 ， 站 在 提高 党 的 
执政 能 力 ， 加 强 社会 主义 先进 文化 建设 ,构建 社会 主义 和 谐 社 会 的 高 度 ， 提 出 了 加 强 网 络 文化 建设 和 管理 的 指导 思想 、 方 针 原 


则 、 主 要 任务 和 总 体 要 求 。 文 件 提出 了 网 络 文化 建设 的 具体 工作 目标 和 要 求 : 一 是 大 力 发 展 中 国 特色 网 络 文化 ; 二 是 进一步 规范 
网 络 文化 信息 服务 ; 三 是 莒 造 文明 健康 的 网 络 文化 环境 ; 四 是 加 强 对 网 络 文化 建设 和 管理 的 领导 。 


6. 我 国信 息 安全 保障 体系 


我 国信 息 安全 保障 体系 包括 6 个 要 素 : 信息 安全 法 律 法 规 与 政策 、 信 息 安 全 标准 与 规范 、 信 息 安全 人 才 培 训 教 育 体 系 、 信 息 
安全 组 织 机 构 及 管理 体系 、 信 息 安全 技术 与 产业 支撑 平台 ， 以 及 信息 安全 基础 设施 。 这 些 要 素 之 间 的 关系 如 图 2-1 所 示 。 


信息 安全 泛 律 法 规 与 政 琵 环境 


区 


一. 
mm 


EI 


织 机 构 及 管理 体系 


企 
有 
才 


J 


1 可 
a 
一 
-一 一 


拉 术 与 产业 文 返 平 台 


es 


和 


信息 ' 已 安 - 全 基础 设施 


图 2-1 我 国信 息 安 全 保障 体系 框架 





建设 国家 信息 安全 保障 体系 ， 就 是 要 建立 和 完善 信息 安全 法 律 、 法 规 ， 运 用 法 律 措 施 和 手段 保障 国家 信息 化 的 发 展 ; 建立 统 
一 的 技术 标准 体系 ， 以 标准 化 促进 和 带动 信息 安全 产业 的 发 展 ， 以 标准 化 来 解决 安全 互 连 、 互 通 问题 ; 建立 信息 安全 管理 体制 ， 
加 强 信息 安全 管理 ， 打 击 利用 信息 技术 进行 的 各 种 违法 犯罪 活动 ,加强 天 键 技术 研究 ， 开 发 具有 自主 知识 产权 的 信息 安全 核心 技 
术 和 产品 ; 建设 信息 安全 基础 设施 ， 建 立 和 完善 各 种 应 急 处 置 和 备份 体系 ;建立 信息 安全 培训 和 人 才 培 养 体系 ， 实 施 人 才 战略 。 
通过 逐步 实现 保护 、 检 测 、 预 警 、 反 应 、 恢 复 和 上 反 制 等 信息 安全 保障 环节 ， 全 面 提升 和 增强 信息 安全 防护 能 力 、 隐 患 发 现 能 
应 急 反 应 能 力 和 信息 对 抗 能 力 ， 为 防范 来 自 组 织 内 部 、 外 部 和 内 外 勾结 以 及 灾害 和 系统 的 脆弱 性 所 构成 的 对 信息 基础 设施 、 应 用 
和 内 容 各 层面 的 安全 威胁 ， 为 国家 信息 安全 提供 全 方位 的 保障 。 


构建 国家 信息 安全 保障 体系 ， 主 要 包括 以 下 6 个 方面 内 容 。 
1) 建立 健全 国家 信息 安全 组 织 与 管理 体制 ， 加 强 信息 安全 工作 的 组 织 保障 。 


构建 国家 信息 安全 组 织 与 管理 体系 是 指 ， 国 家 要 有 一 个 能 够 统筹 协调 各 个 有 关 职 能 部 门 的 高 层 机 构 来 统一 领导 信息 安全 保障 
工作 。 各 个 职能 部 门 要 形成 一 个 分 工 明确 、 责 任 落 实 、 相 互 衔 接 、 有 机 配合 的 组 织 管理 体系 ， 各 级 政府 要 形成 响应 管理 体系 。 信 


息 安 全 管理 体系 要 能 够 做 到 集中 各 级 各 方面 的 网 络 安全 情况 ， 及 时 正确 地 做 出 决策 ， 有 效 地 组 织 协调 各 个 职能 部 门 ， 采 取 有 针对 
性 的 工作 措施 ， 保 障 国家 信息 安全 。 建 立信 息 安全 组 织 与 管理 体系 的 主要 任务 是 : 对 国家 的 信息 安全 保障 进行 宏观 决策 ， 明 确 主 
管 部 门 ， 协 调 有 关 职 能 部 门 ， 建 立 统 一 指挥 、 统 一 行动 的 国家 信息 安全 保障 机 制 ; 统一 指挥 、 调 度 和 处 置 各 种 信息 网 络 安全 重大 
事件 ; 部 署 各 项 信息 安全 保障 措施 。 


2) 建立 健全 信息 安全 法 律 法 规 体系 ,推进 信息 安全 法 制 建设 。 


构建 国家 信息 安全 法 律 法 规 体系 是 指 依据 完 法， 制定 国家 关于 信息 安全 的 基本 法 以 及 与 之 相配 套 ， 并 且 与 现 有 法 律 、 法 规 相 
衔接 的 信息 安全 法 律 、 法 规 和 部 门 规章 ， 形 成 一 套 能 够 覆盖 信息 安全 领域 基本 问题 及 主要 内 容 ， 系 统 、 完 整 、 有 机 的 信息 安全 法 
律 规范 体系 。 建 立 健全 信息 安全 法 律 法 规 体系 的 任务 是 : 确立 我 国信 息 安全 领域 的 基本 法 律 原则 、 法 律 责任 和 法 律 制度 ， 从 不 同 
层次 妥善 处 理 信息 安全 各 方 主体 的 权利 义务 关系 ， 系 统 、 全 面 地 解决 我 国信 息 安 全 立法 中 的 基本 问题 ， 规 范 公 民 、 法 人 和 其 他 组 
织 的 信息 安全 行为 ， 明 确信 息 安全 的 执法 主体 ， 为 信息 安全 各 个 职能 部 门 提供 执法 依据 。 


Lu 


) 建立 完善 信息 安全 标准 体系 ， 加 强 信息 安全 标准 化 工作 。 


信息 安全 标准 体系 是 指 在 社会 发 展 信息 化 的 环境 下 ， 规 范 信 息 安全 技术 的 研究 、 发 展 与 应 用 ， 以 及 信息 安全 管理 、 监 督 、 检 
查 和 指导 工作 的 准则 。 信 息 安全 标准 体系 包括 技术 标准 和 管理 标准 ， 是 政府 对 信息 安全 进行 宏观 管理 和 监督 、 指 导 的 重要 依据 ， 
也 是 在 法 律 法 规 体系 之 外 调整 信息 安全 权利 及 义务 关系 ， 规 学 信息 安全 行为 ， 维 护 国家 安全 ， 促 进 信息 安全 产业 发 展 的 一 种 重要 
手段 。 建 立 并 完善 信息 安全 标准 体系 的 任务 是 为 政府 进行 信息 安全 管理 和 监督 提供 依据 和 手段 ， 为 保障 信息 安全 的 技术 措施 和 管 
理 制 度 提供 准则 。 其 中 ， 技 术 标 准 的 作用 是 为 信息 网 络 和 信息 系统 的 安全 规划 、 建 设施 工 、 运 行 维护 和 使 用 管理 提供 技术 规范 和 
准则 ， 建 立 健全 信息 安全 的 技术 立法 ; 而 管理 标准 的 作用 是 为 信息 网 络 和 信息 系统 运营 、 使 用 单位 的 信息 安全 管理 工作 和 国家 信 
息 安 全 职能 部 门 的 监督 工作 提供 具有 可 操作 性 的 规范 和 准则 ， 从 而 加 强 信息 安全 的 规范 化 建设 。 


4) 建立 信息 安全 技术 体系 ， 实 现 国家 信息 化 发 展 的 自主 可 控 。 


言 息 安 全 技术 体系 是 指 国 家 要 建立 一 个 自主 可 控 的 关键 信息 安全 技术 的 统一 架构 ， 能 够 全 方位 地 正确 指导 关键 信息 安全 技术 
的 规划 、 研 发 、 成 果 转 化 ， 以 及 消化 、 吸 收 国外 先进 技术 的 天 键 性 工作 。 建 立信 息 安全 技术 体系 的 基本 任务 是 ， 采 取 积 极 措施 ， 
组 织 和 动员 各 方面 力量 ， 密 切 跟 踪 世 界 先进 技术 的 发 展 ， 加 强 关 键 信息 安全 技术 的 研究 开发 ， 提 高 自主 创新 能 力 ， 实 现 关键 信息 
安全 技术 的 自主 可 控 ， 彻 底 摆脱 核心 技术 和 产品 依赖 进口 的 被 动 局 面 ， 为 国家 信息 安全 提供 技术 保障 和 支撑 。 


5) 建设 信息 安全 基础 设施 ， 提 供 国家 信息 安全 保障 能 力 支 撑 。 


一 是 建立 信息 安全 通报 、 应 急 处 置 和 灾难 恢复 体系 。 信 息 安全 通报 和 应 急 处 置 体系 是 国家 为 确保 信息 安全 ， 防 范 和 处 置 危害 
家 安全 、 社 会 稳定 和 信息 网 络 安全 的 重大 事件 和 重大 威胁 而 建立 的 快速 通报 应 急 体 系 。 信 息 安全 通报 和 应 急 处 置 体系 主要 任务 
通过 信息 安全 通报 工作 ， 实 现 信息 共享 ， 并 在 此 基础 上 构建 信息 安全 应 急 处 置 机制 ， 采 用 集中 研判 、 快 速 预警 、 统 一 指挥 、 紧 
处 置 、 追 查 反 制 等 策略 和 措施 ， 有 效 防范 、 及 时 控制 和 消除 有 害 信 息 传播 、 计 算 机 病毒 感染 和 网 络 攻 击 、 网 络 恐 怖 活动 以 及 网 
络 紧 急 突 发 事件 的 危害 ， 并 切实 解决 应 急 恢 复 ， 确 保 系 统 容 灾 能 力 ， 保 障 国家 基础 信息 网 络 和 重要 信息 系统 的 安全 ， 维 护 正常 的 
社会 秩序 。 


加 
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二 是 建立 以 密码 技术 为 基础 的 网 络 信任 体系 。 网 络 信任 体系 是 国家 在 社会 发 展 信息 化 环境 下 ， 为 保障 诚信 、 可 靠 的 网 络 安全 
秩序 而 建立 的 网 上 身份 识别 、 认 证 体系 。 网 络 信任 体系 的 主要 任务 是 解决 网 络 空间 中 信息 、 各 种 行为 主体 身份 的 真实 性 与 可 信 性 
问题 ， 建 立 类 似 现实 生活 空间 的 信任 体系 ， 维 护 网 络 空间 的 有 序 运 转 ， 包 括 身份 认证 、 授 权 管 理 和 责任 认定 等 主要 内 容 。 


三 是 建立 信息 安全 等 级 保护 和 风险 评估 体系 。 等 级 保护 和 风险 评估 体系 是 指 从 分 级 管理 和 风险 管理 的 角度 ， 针 对 信息 系统 的 
不 同类 型 、 级 别 、 层 次 和 信息 化 的 不 同 发 展 阶 段 进行 安全 建设 和 管理 ， 运 用 科学 的 方法 和 手段 ， 系 统 分 析 网 络 和 信息 系统 威胁 及 
脆弱 性 并 提出 防护 对 策 的 体系 ， 主 要 任务 是 保护 基础 信息 网 络 和 关系 国家 安全 、 经 济 命 脉 和 社会 稳定 等 方面 的 重要 信息 系统 ， 综 


合 考虑 网 络 与 信息 系统 的 重要 性 、 涉 密 程度 和 面临 的 信息 安全 风险 ， 对 网 络 与 信息 系统 安全 的 潜在 威胁 、 落 弱 环节 和 防护 措施 进 
行 分 析 评估 ， 从 而 提高 整体 信息 安全 保护 能 


四 是 建立 信息 安全 测评 认证 体系 。 信 息 安全 测评 认证 体系 是 指 通 过 对 信息 安全 产品 和 信息 系统 进行 安全 性 测试 、 评 估 和 认 
证 ， 确 定 产品 和 系统 是 否 能 够 达到 要 求 的 安全 级 别 和 可 信 程度 的 体系 。 信 息 安全 测评 认证 体系 的 主要 任务 是 : 建立 和 实施 信息 安 
品 的 市 场 准 入 制度 ， 对 广大 用 户 采 购 信息 安全 产品 ， 设 计 、 建 设 、 使 用 和 管理 安全 的 信息 系统 提供 科学 公正 的 专业 指导 ， 对 
息 安全 产品 的 研究 、 开 发 、 生 产 以 及 信息 安全 服务 的 组 织 提供 严格 的 规范 引导 和 质量 监督 ， 为 信息 安全 产业 发 展 创造 一 个 良好 
境 


五 是 完善 信息 安全 监控 体系 。 信 息 安全 监控 体系 是 指 为 了 维护 国家 安全 、 公 共 利 益 和 信息 网 络 安全 秩序 ， 在 信息 系统 和 信息 
网 络 (特别 是 互联 网 ) 上 建立 的 监视 和 控制 有 害 信息 、 违 法 犯罪 、 病 毒 入 侵 ， 以 及 系统 安全 状况 的 技术 手段 系统 。 


6) 建立 信息 安全 人 才 培 养 体系 ， 加 快 信息 安全 学 科 建 设 和 信息 安全 人 才 培 养 。 


言 息 安全 人 才 培 养 体系 是 指 ， 国 家 在 社会 发 展 信息 化 环境 下 ， 为 保障 信息 安全 ， 加 强 信息 安全 理论 研究 和 信息 安全 实战 研 
究 ， 培 养 信息 安全 各 方面 人 才 而 构建 的 体系 。 信 息 安全 人 才 培 养 体系 的 主要 任务 是 加 强 信息 安全 理论 研究 和 信息 安全 学 科 、 专 业 
建设 ， 培 养 信息 安全 的 “执法 ”人 才 、 组 织 决 策 管理 人 才 、 安 全 技术 开发 人 才 和 技术 服务 人 才 ， 加 强 信息 安全 宣传 教育 ， 普 及 全 
民 信息 安全 意识 。 
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2.2 我国 信息 安 全 保障 工作 主要 内 容 


为 构建 信息 安全 保障 体系 ， 我 国 已 经 在 信息 安全 标准 化 、 应 急 处 理 与 信息 通报 、 等 级 保护 、 风 险 评估 和 人 才 队 伍 建 设 等 方面 
展开 工作 ， 并 取得 了 一 些 成 果 。 


2.2.1 ”信息 安全 标准 化 


信息 安全 标准 为 信息 安全 保障 各 项 工作 提供 规范 ， 为 保障 工作 的 各 参与 方 提供 交流 和 评判 的 基准 ， 因 此 ， 信 息 安全 标准 化 是 
国家 构建 信息 安全 保障 体系 的 重要 基础 环节 。 
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信息 安全 标准 化 工作 是 我 国信 息 安全 保障 工作 的 重要 组 成 部 分 之 一 ， 也 是 政府 进行 宏观 管理 的 重要 依据 ， 同 时 也 是 保护 国家 
利益 、 促 进 产 业 发 展 的 重要 手段 之 一 。 虽 然 国 际 上 有 很 多 标准 化 组 织 研究 制定 了 多 个 信息 安全 标准 ， 但 是 由 于 信息 安全 标准 事 关 
国家 安全 利益 ， 因 此 不 能 过 分 依赖 于 国际 标准 ， 而 是 要 在 充分 借鉴 国际 标准 的 前 提 下 ， 通 过 本 国 组 织 和 专家 制定 出 符合 本 国 国情 
并 可 以 信任 的 信息 安全 技术 和 管理 等 领域 的 标准 ， 切 实 有 效 地 保护 国家 利益 和 安全 。 


信息 安全 标准 是 解决 信息 安全 产品 和 系统 在 设计 、 研 发 、 生 产 、 建 设 、 使 用 和 测评 中 的 一 致 性 、 可 靠 性 、 可 控 性 、 先 进 性 和 
符合 性 的 技术 规范 与 依据 。 信 息 安全 保障 体系 的 建设 是 一 个 极其 庞大 的 复杂 系统 ， 没 有 配套 的 安全 标准 ， 就 不 能 构造 出 一 个 可 
用 、 实 用 的 信息 安全 保障 体系 。 信 息 安全 标准 化 建设 作为 我 国信 息 安全 保障 体系 的 重要 组 成 部 分 ， 具 有 极其 重要 的 意义 。 


信息 安全 标准 化 工作 是 解决 信息 安全 问题 的 重要 技术 支撑 ， 其 作用 突出 地 体现 在 能 够 确保 有 关 产 品 、 设 施 的 技术 先进 性 、 可 


靠 性 和 一 致 性 。 在 按 国际 规则 实行 [T 产 品 市 场 准 入 时 能 够 为 相关 产品 的 安全 性 合格 评定 提供 依据 ， 以 强化 和 保证 我 国信 息 化 的 安 
全 产品 、 工 程 、 服 务 的 技术 自主 可 控 。 


2. 实 践 历程 


目前 ， 国 务 院 授权 在 国家 质量 监督 检验 检疫 总 局 管理 下 ， 由 国家 标准 化 管理 委员 会 统一 管理 全 国标 准 化 工作 ， 下 设 有 529 个 
专业 技术 委员 会 。 中 国标 准 化 工作 实行 统一 管理 与 分 工 负 责 相 结合 的 管理 体制 ， 由 88 个 国务 院 有 关 行 政 主管 部 门 和 国务 院 授权 
的 有 关 行 业 协 会 分 工 管理 本 部 门 、 本 行业 的 标准 化 工作 ， 由 31 个 省 、 自 治 区 、 直 辖 市 政府 有 关 行 政 主管 部 门 分 工 管理 本 行政 区 
域内 本 部 门 、 本 行业 的 标准 化 工作 。 


1984 年 7 月 ， 在 我 国 的 全 国 计 算 机 与 信息 处 理 标准 化 技术 委员 会 下 ， 建 立 了 相应 的 数据 加 密 分 技术 委员 会 ， 在 国家 技术 监 上 
局 和 原 电子 工业 部 的 领导 下 ， 归 口 管理 国内 外 的 信息 技术 数据 加 密 的 标准 化 工作 。1997 年 8 月 ， 随 着 信息 技术 的 发 展 和 工作 范围 
的 扩大 ， 在 原 数据 加 密 分 委员 会 的 基础 上 ， 改 组 成 立 了 信息 技术 安全 分 技术 委员 会 (与 国际 ISO/IEC 是 C1/SC27 信 息 技术 的 安全 
技术 分 委 会 对 应 ) 。 它 是 一 个 具有 广泛 代表 性 、 权 威 性 和 军民 结合 的 信息 安全 标准 化 组 织 ， 其 工作 范围 是 负责 信息 和 通信 安全 的 
通用 框架 、 方 法 、 技 术 和 机 制 的 标准 化 ， 归 口 国内 外 对 应 的 标准 化 工作 。2002 年 4 月 ， 经 国家 标准 化 管理 委员 会 批准 ， 全 国信 息 
安全 标准 化 技术 委员 会 (简称 “信安 标 委 ” ， 委 员 会 编号 为 TC260) 正式 成 立 。 


信安 标 委 成 立 后 ， 逐 步 形 成 “基础 性 研究 一 一 标准 预 研一 一 标准 制定 ”3 个 阶段 波浪 式 的 标准 研制 新 模式 ， 以 工作 组 为 主体 
开展 信息 安全 标准 的 研究 制定 工作 。 工 作 组 由 国内 信息 安全 技术 领域 的 有 关 部 门 、 研 究 机 构 、 企 事业 单位 及 高 等 院 校 等 代表 组 
成 ， 是 标准 研制 的 技术 力量 。 目 前 正式 成 立 了 信息 安全 标准 体系 与 协调 工作 组 (WG1) 、 涉 密 信息 系统 安全 保密 工作 组 
(WG2) 、 密 码 工作 组 (WG3) 、 鉴 别 与 授权 工作 组 (WG4) 、 信 息 安 全 评估 工作 组 (WG5) 、 通 信安 全 工作 组 (WG6) 和 
舍 息 安全 管理 工作 组 (WG7) 7 个 工作 组 。 








言 安 标 委 制 定形 成 了 我 国信 息 安全 标准 体系 框架 ， 并 以 该 标准 体系 框架 作为 指导 我 国信 息 安全 标准 制订 工作 的 指导 性 技术 文 
件 ， 围 绕 信息 安全 保障 体系 建设 ， 积 极 开展 了 配套 标准 的 研究 制定 工作 。 


除 全 国信 息 安 全 标准 化 委员 会 、 公 安 部 信息 系统 安全 标准 化 技术 委员 会 、 中 国 通信 标准 化 协会 网 络 与 信息 安全 技术 工作 委员 
会 3 个 专业 性 信息 安全 标准 化 组 织 外 ， 我 国 其 他 有 关 主 管 部 门 和 地 方 政 府 也 发 布 了 部 分 信息 安全 行业 标准 或 地 方 标准 。 


2.2.2 ”信息 安全 应 急 处 理 与 信息 通报 


发 生 信 息 安全 事件 可 能 造成 严重 损失 和 恶 务 社会 影响 ， 我 国 非常 重视 信息 安全 事件 管理 。 应 急 处 理 与 信息 通报 是 信息 安全 事 
件 管理 的 重要 内 容 。 加 强 信息 安全 应 急 处 理 与 信息 通报 是 信息 安全 保障 实践 活动 的 重要 内 容 ， 能 够 提高 安全 事件 的 整体 应 对 能 
力 。 


1 意义 


国家 信息 基础 设施 安全 应 急 保障 工作 是 国家 信息 安全 保障 体系 建设 的 重要 组 成 部 分 。 建 立 健全 应 急 处 理 与 信息 通报 机 制 依赖 
于 建设 和 完善 信息 安全 监控 体系 ， 提 高 网 络 安全 事件 应 对 和 防范 能 力 ， 防 止 有 害 信 息 传播 。 因 此 ， 高 度 重视 信息 安全 应 急 处 置 工 
作 ， 健 全 信息 安全 应 急 指挥 和 安全 通报 制度 ， 不 断 完 善信 息 安全 应 急 处 置 预案 ， 具 有 十 分 重要 的 意义 。 


1) 信息 安全 应 急 处 理 与 信息 通报 工作 是 国家 信息 安全 保障 工作 的 基本 制度 和 重要 措施 。 


建立 国家 网 络 与 信息 安全 通报 机 制 ， 有 利于 各 部 门 、 各 领域 实现 信息 交流 与 共享 ， 综 合 分 析 安 全 威胁 和 安全 状况 ， 做 好 信息 


安全 预警 和 防范 工作 ， 提 升 对 信息 安全 事件 的 快速 反应 和 整体 应 对 能 力 ， 保 证 应 对 措施 的 及 时 性 和 有 效 性 ; 有 利于 国家 调动 和 整 
合 各 领域 的 有 利 资源 ， 迅 速 、 全 面 掌握 整体 情况 ， 及 时 做 出 决策 部 署 ， 有 利于 全 社会 增强 安全 防范 意识 ， 共 同 参与 信息 安全 保障 
工作 。 因 此 ， 建 立国 家 网 络 与 信息 安全 通报 制度 ， 是 国家 信息 安全 保障 工作 的 基本 制度 和 重要 举措 。 


2) 信息 安全 应 急 处 理 与 信息 通报 工作 有 利于 提高 基础 信息 网 络 与 重要 信息 系统 的 信息 安全 防范 、 保 障 能 力 。 





建立 国家 网 络 与 信息 安全 信息 通报 制度 ， 能 够 及 时 、 全 面 地 收集 、 汇 总 各 方面 的 网 络 与 信息 安全 信息 ， 经 过 综合 研判 分 析 ， 
提出 对 策 、 建 议 并 及 时 通报 基础 信息 网 络 和 重要 信息 系统 ， 为 事件 发 生 单位 提供 对 策 和 技术 支持 ， 为 其 他 单位 提供 预警 信息 ， 从 
而 协助 基础 信息 网 络 和 重要 信息 系统 全 面 掌 握 国 内 、 外 网 络 与 信息 安全 政策 和 技术 动态 ， 有 针对 性 地 制定 和 实施 安全 防范 措施 ， 
增强 网 络 与 信息 安全 防范 、 保 障 能 力 ， 确 保 涉及 国计民生 的 基础 信息 网 络 和 重要 信息 系统 的 安全 。 


3) 信息 安全 应 急 处 理 与 信息 通报 工作 有 助 于 加 强国 家 网 络 与 信息 安全 应 急 处 置 工作 。 


建立 国家 网 络 与 信息 安全 通报 制度 ， 能 够 在 发 生 重 大 网 络 与 信息 安全 事件 时 ， 在 国家 网 络 与 信息 安全 协调 小 组 和 成 员 单位 之 
间 以 及 各 成 员 单 位 之 间 ， 建 立 畅通 的 信息 交流 渠道 ， 全 面 收集 事件 的 相关 情况 ， 及 时 上 报 协调 小 组 ， 同 时 将 协调 小 组 的 预警 命令 
和 决策 部 署 下 达到 成 员 单位 ， 做 好 预警 和 防 学 工作 ， 建 立 健全 国家 信息 安全 应 急 处 置 协调 机 制 和 指挥 调度 机 制 ， 提 高 对 网 络 与 信 
息 安 全 事件 的 快速 反应 和 整体 应 对 能 力 ， 保 证 应 急 处 置 措施 的 及 时 性 和 有 效 性 ， 确 保 国家 基础 信息 网 络 和 重要 信息 系统 的 安全 。 


2. 实 践 历程 


信息 安全 应 急 保障 体系 包括 组 织 机 构 、 标 准 法 规 、 支 撑 系 统 和 运行 能 力 4 个 方面 。 组 织 机 构 是 负责 国家 信息 基础 设施 安全 应 
急 处 理 与 通报 工作 的 主体 ; 标准 法 规 是 实施 国家 信息 基础 设施 安全 应 急 处 理 与 通报 工作 的 行为 准则 和 技术 标准 ;支撑 系统 是 支持 
国家 信息 基础 设施 安全 应 急 处 理 与 通报 工作 实施 的 技术 手段 ; 运行 能 力 是 组 织 机 构 按照 标准 法 规 、 利 用 支撑 系统 处 置 国家 信息 基 
础 设施 安全 应 急事 件 的 能 力 。 


(1) 信息 安全 应 急 处 理 机 制 的 建立 


2000 年 ， 我 国 成 立 了 国家 计算 机 网 络 应 急 技 术 处 理 协 调 中心 (National Computer network Emergency Response 
technical Team Coordination Center of China，CNCERT/CC) 、 国 家 计算 机 病毒 应 急 处 理 中 心 和 国家 计算 机 网 络 入 侵 防 范 
中 心 ， 建 立 了 最 早 的 技术 合作 雏形。 后 来 根据 在 2001 年 应 对 一 系列 大 规模 网 络 安全 事件 中 得 到 的 经 验 教 训 ， 这 个 合作 体系 又 扩 
大 到 各 骨干 互联 网 运营 单位 。 扩 展 后 的 合作 体系 使 我 国 对 大 规模 网 络 安全 事件 的 应 急 响 应 效率 和 能 力 有 了 极 大 的 提高 。 自 2003 
年 起 ， 各 部 门 都 开始 制定 与 互联 网 相关 的 应 急 预 案 ， 开 始 重视 应 急 协调 预案 和 不 同 部 门 间 的 协调 。 根 据 新 的 网 络 安全 威胁 特点 ， 
这 个 体系 在 2004 年 又 进行 了 进一步 的 扩展 和 调整 ， 形 成 了 我 国 公共 互 联网 络 应 急 处 理 体系 ， 以 便 发 挥 政府 、 产 业界 、 专 业 组 
织 、 研 究 机 构 和 安全 企业 等 方面 的 作用 ， 在 中 央 和 地 方 组 成 的 核心 框架 下 ， 形 成 有 机 整体 ， 使 网 络 安全 事件 的 预防 、 应 对 能 力 均 
得 到 更 全 面 、 更 有 效 的 加 强 。 


我 国 的 应 急 响 应 机 构 包 括 CNCERT/CC、 中 国教 育 和 科研 计算 机 网 紧急 响应 组 (China Education and Research Network 
Computer Emergency Response Team，CCERT) 及 其 他 专业 性 的 组 织 。CNCERT/CC 由 工业 和 信息 化 部 (以 下 简称 “ 工 信 
部 ”) 互联 网 应 急 处 理 协调 办 公 室 直接 领导 ， 负 责 协 调 我 国 各 计算 机 网 络 安全 事件 应 急 组 (Computer Emergency Response 
Team，CERT) ， 共 同 处 理 国家 公共 互联 网 上 的 安全 紧急 事件 ， 为 国家 公共 互联 网 、 国 家 主要 网 络 信息 应 用 系统 以 及 关键 部 门 
提供 计算 机 网 络 安全 的 监测 、 预 警 、 应 急 和 防范 等 安全 服务 和 技术 支持 ， 及 时 收集 、 核 实 、 汇 总 和 发 布 有 关 互 联网 安全 的 权威 性 
言 息 ， 组 织 国 内 计算 机 网 络 安全 应 急 组 织 进行 国际 合作 和 交流 。CCERT 是 中 国教 育 和 科研 计算 机 网 CERNET 专 家 委员 会 领导 之 下 
的 一 个 公益 性 的 服务 和 研究 组 织 ， 从 事 网 络 安全 技术 的 研究 和 非 营 利 性 质 的 网 络 安 全 服务 。 目 前 ，CCERT 的 应 急 响应 体系 已 经 
包括 CERNET 内 部 各 级 网 络 中 心 的 安全 事件 响应 组 织 或 安全 管理 相关 部 门 ， 是 一 个 由 30 多 个 单位 组 成 、 覆 盖 全 国 的 应 急 响应 组 
织 。 其 他 专业 性 的 应 急 组 织 还 包括 国家 计算 机 病毒 应 急 处 理 中 心 、 国 家 计算 机 网 络 入 侵 防范 中 心 、 国 家 863 计 划 反 计算 机 入 侵 和 和 





防 病毒 研究 中 心 。 
(2) 信息 安全 通报 机 制 的 建立 


网 络 信息 的 安全 保障 和 应 急 处 置 涉及 多 个 部 门 、 多 个 层次 ， 需 要 建立 和 规范 对 影响 网 络 与 信息 安全 的 事件 的 发 现 、 分 析 、 通 
报 、 预 警 以 及 处 置 的 工作 机 制 ， 以 便 统一 发 布 危害 警报 ， 统 一 协调 行动 。 协 同 加强 安 全 防范 ， 确 保 一 旦 发 生 大 规模 病毒 感染 、 网 
络 攻 击 及 其 他 网 络 信 息 安全 事件 时 ， 能 够 及 时 有 效 处 置 ， 减 少 危 害 损失 和 影响 范围 。 


根据 “ 谁 主管 、 谁 负责 ; 谁 经 营 ， 谁 负责 ”的 原则 ， 强 化 各 个 部 门 的 信息 汇总 和 研判 工作 ， 在 国家 网 络 与 信息 安全 协调 小 组 
的 领导 下 ， 形 成 跨 部 门 的 网 络 与 信息 安全 有 关 信 息 的 共享 机 制 。 坚 持 政府 主导 ， 充 分 发 挥 社会 中 介 的 作用 。 采 用 分 类 、 分 级 的 处 
理 方式 ， 规 范 网 络 与 信息 安全 的 预警 和 通报 工作 ， 及 时 有 效 地 化 解 安全 风险 。 


“分 类 、 分 级 ”的 预警 与 通报 机 制 由 公安 部 负责 协调 小 组 成 员 单位 和 各 重要 信息 系统 主管 部 门 的 网 络 与 信息 安全 信息 汇总 和 
反馈 工作 。 发 生 网 络 信息 安全 事件 后 ， 协 调 小 组 成 员 单位 和 各 重要 信息 系统 主管 部 门 除 按 正常 渠道 上 报 外 ， 必 须 及 时 通知 公安 机 
关 ， 公 安 部 在 综合 分 析 后 ， 及 时 将 研判 结果 通报 各 有 关 单位 。 公 安 部 公共 信息 网 络 安全 监察 部 门 ， 面 向 全 国 接受 网 络 与 信息 安全 
方面 的 报警 ， 组 织 对 计算 机 安全 犯罪 行为 的 调查 和 打击 ， 研 究 并 提出 相应 的 应 对 措施 ， 分 析 研 判 信息 安全 问题 的 性 质 、 危 害 程度 
和 可 能 的 影响 范围 ， 必 要 时 向 政府 机 关 、 科 研 单 位 和 网 络 营运 管理 部 门 发 布 安全 预警 信息 。 发 生 网 络 安全 事件 后 ， 各 部 门 、 各 单 
位 、 各 网 络 运营 单位 和 社会 公众 有 义务 及 时 向 各 级 公安 机 关 报 告 。 





工信部 负责 基础 电信 网 络 和 互联 网 的 网 络 与 信息 安全 事件 通报 ， 通 过 CERT 的 协作 机 制 ， 接 受 网 络 与 信息 安全 事件 报告 ， 分 
析 研 判 信息 安全 事件 的 性 质 和 危害 程度 ， 研 究 提出 相应 的 对 应 措施 ， 组 织 技术 应 急 ， 面 向 基础 电信 网 络 和 互联 网 发 布 预警 信息 。 


国家 网 络 与 信息 安全 协调 小 组 办 公 室 将 定期 对 国家 网 络 与 信息 安全 的 总 体形 势 进行 综合 研究 和 会 商 ， 研 究 提出 相应 的 管理 和 
技术 政策 建议 ， 并 向 国务 院 报告 。 出 现 可 能 影响 社会 稳定 和 国民 经 济 正常 运行 的 网 络 与 信息 安全 威胁 时 ， 随 时 组 织 会 商 ， 及 时 报 


十 
口 。 


2.2.3 ”信息 安全 等 级 保护 


实施 信息 安全 等 级 保护 能 够 针对 不 同系 统 有 效 实现 恰当 保护 ， 提 供 所 需 级 别 的 保护 能 力 ， 是 我 国 在 相应 法 规 、 政 策 和 标准 的 
基础 上 推行 的 一 项 重要 信息 安全 保障 工作 。 


1. 意 义 


近年 来 ， 党 中 央 、 国 务 院 高 度 重 视 ， 各 有 关 部 门 协调 配合 、 共 同 努 力 ， 我 国信 息 安全 保障 工作 取得 了 很 大 进展 。 但 是 从 总 体 
上 看 ， 我 国 的 信息 安全 保障 工作 尚 处 于 起 步 阶段 ， 基 础 薄弱 ， 水 平 不 高 ， 存 在 以 下 突出 问题 : 信息 安全 意识 和 安全 防范 能 力 薄 
弱 ， 信 息 安全 灌 后 于 信息 化 发 展 ;信息 系统 安全 建设 和 管理 的 目标 不 明确 ; 信息 安全 保障 工作 的 重点 不 突出 ; 信息 安全 监督 管理 
缺乏 依据 和 标准 ， 监 管 措施 不 到 位 ， 监 管 体系 尚 待 完 善 。 随 着 信息 技术 的 高 速 发 展 和 网 络 应 用 的 迅速 普及 ， 我 国 国民 经 济 发 展 和 
社会 信息 化 进程 全 面 加 快 ， 信 息 系统 的 基础 性 、 全 局 性 作用 日 益 增 强 ， 信 息 资源 已 经 成 为 国家 经 济 建设 和 社会 发 展 的 重要 战略 资 
源 之 一 。 保 障 信息 安全 ， 维 护 国家 安全 、 公 共 利 益 和 社会 稳定 是 当前 信息 化 发 展 中 迫切 需要 解决 的 重大 问题 。 





实施 信息 安全 等 级 保护 ， 能 够 有 效 地 提高 我 国信 息 和 信息 系统 安全 建设 的 整体 水 平 ， 有 利于 在 信息 化 建设 过 程 中 同步 建设 信 
息 安 全 设施 ， 保 障 信息 安全 与 信息 化 建设 相 协调 ;有 利于 为 信息 系统 安全 建设 和 管理 提供 系统 的 指导 和 服务 ， 有 效 控制 信息 安全 
建设 成 本 ; 有 利于 优化 信息 安全 资源 的 配置 ， 对 信息 系统 实施 分 等 级 保护 ， 重 点 保障 基础 信息 网 络 和 关系 国家 安全 、 经 济 命脉 和 
社会 稳定 等 方面 的 重要 信息 系统 的 安全 ; 有 利于 明确 国家 、 法 人 和 其 他 组 织 、 公 民 的 信息 安全 责任 ， 加 强 信息 安全 管理 ， 有 利于 


推动 信息 安全 产业 的 发 展 ， 逐 步 探索 出 一 条 适合 社会 主义 市 场 经 济 发 展 的 信息 安全 模式 。 


实行 信息 安全 等 级 保护 ， 本 质 上 就 是 要 明确 重点 、 确 保重 点 。 首 先是 要 明确 重点 ， 在 国家 层面 ， 这 个 重点 就 是 那些 关系 国家 
安全 、 经 济 命脉 、 社 会 稳定 的 基础 网 络 和 重要 信息 系统 。 对 于 部 门 、 地 方 和 企业 而 言 ， 也 应 根据 实际 确定 自己 的 保护 重点 。 其 
次 ， 在 系统 定 级 的 基础 上 ， 还 要 综合 平衡 信息 安全 风险 和 建设 成 本 ， 进 一 步 确定 重点 部 位 ， 将 有 限 的 资源 用 到 最 急需 、 最 核心 的 
地 方 ， 根 据 安 全 等 级 进行 建设 和 管理 ， 确 保 核心 系统 安全 。 最 后 ， 实 行 等 级 保护 要 坚持 从 实际 出 发 。 我 国 的 信息 化 发 展 不 平衡 ， 
东 中 西部 差异 较 大 ， 不 同 部 门 、 不 同 地 区 信息 化 所 处 的 发 展 阶段 不 同 ， 面 临 的 信息 安全 风险 和 信息 安全 需求 也 不 一 样 。 因 此 ,在 
言 息 安 全 保障 中 必须 从 实际 安全 需求 出 发 ， 不 能 片面 迄 求 “绝对 安全 ”， 搞 不 计 成 本 的 安全 ， 也 不 能 搞 一 刀 切 、 上 下 一 般 粗 、 全 
国 一 个 模式 。 必 须 区 分 轻重 缓急 ， 根 据 不 同等 级 、 不 同类 别 、 不 同 阶段 ， 突 出 重点 ， 将 有 限 的 资源 用 到 最 急需 保障 的 地 方 。 这 也 
是 实事 求 是 思想 路 线 在 信息 安全 保障 工作 中 的 具体 体现 。 


信息 安全 等 级 保护 是 国家 信息 安全 保障 的 基本 制度 和 方法 ， 开 展 信息 安全 等 级 保护 工作 是 促进 信息 化 发 展 ， 保 障 国家 信息 安 
全 的 重要 举措 ， 也 是 我 国 多 年 来 信息 安全 工作 的 经 验 总 结 。 开 展 信息 安 全 等 级 保护 ， 就 是 要 解决 我 国信 息 安全 面临 的 威胁 和 存在 
的 主要 问题 ， 有 效 体现 “适度 安全 、 保 护 重 点 ”的 目的 ,将 有 限 的 财力 、 物 力 和 和 人力 投 入 重要 信息 系统 安全 保护 中 ， 按 标准 建设 
安全 保护 措施 ， 建 立 安全 保护 制度 ， 落 实 安 全 责任 ， 加 强 监督 检查 ， 有 效 提高 我 国信 息 和 信息 系统 安全 建设 的 整体 水 平 。 





2. 实 践 历程 


1994 年 2 月 18 日 ，《 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 (国务 院 令 第 147 号 ) 发 布 ， 以 国务 院 行政 法 规 的 形式 
正式 确定 对 我 国境 内 的 计算 机 信息 系统 实行 安全 等 级 保护 制度 ， 明 确 公安 部 作为 主管 单位 ， 对 具体 工作 从 法 律 上 做 了 明确 规定 ， 
由 公安 机 关 负 责 国家 信息 安全 等 级 保护 工作 的 监督 、 检 查 和 指导 ， 公 安 部 会 同 有 关 部 门 制定 安全 等 级 划分 标准 和 保护 的 具体 办 
法 ， 公 安 部 根据 本 条 例 制 定 实施 办 法 。 





(1) 研究 制定 等 级 保护 的 准则 、 规 范 和 标准 


1999 年 ，GB 17859 一 1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》 (以 下 简称 《划分 准则 》) 发 布 。 这 是 一 部 强制 性 
国家 标准 ， 它 既是 一 部 技术 法 规 ， 也 是 等 级 保护 的 重要 基础 标准 ， 它 从 功能 上 把 信息 系统 的 安全 等 级 划分 为 5 个 级 别 的 安全 保护 
能 力 。 随 后 ， 国 家 先后 颁布 了 多 部 信息 安全 等 级 保护 相关 标准 ， 逐 步 形 成 等 级 保护 标准 体系 。 


(2) 强化 等 级 保护 


为 了 进一步 贯彻 落实 27 号 文件 精神 ， 推 动 等 级 保护 工作 ，2004 年 9 月 15 日 ， 公 安 部 会 同 国家 保密 局 和 国信 办 共同 研究 制定 
《关于 信息 安全 等 级 保护 工作 的 实施 意见 》 ( 公 通 字 [2004]66 号 ， 以 下 简称 《实施 意见 》) ， 把 等 级 保护 确认 为 国家 信息 安全 的 
基本 制度 和 根本 方法 ， 明 确 了 信息 安全 等 级 保护 的 建设 原则 、 工 作 要 求 、 实 施 计划 ， 对 信息 等 级 保护 工作 做 了 更 加 具体 的 明确 ， 
把 等 级 保护 提 到 一 个 新 的 高 度 。2005 年 《实施 意见 》 下 发 ， 等 级 保护 工作 全 面 启 动 。 


2005 年 9 月 15 日 ， 国 信 办 正式 发 布 《 电 子 政务 信息 安全 等 级 保护 实施 指南 (试行 ) 》 (国信 办 [2005]25 号 ) (以 下 简称 《 实 
施 指南 (试行 ) 》) ， 着 重 前 述 了 电子 政务 信息 安全 等 级 保护 的 基本 概念 、 工 作 方 法 和 实施 过 程 ， 供 各 级 党 政 机 天 在 新 建 和 已 建 
电子 政务 系统 中 开展 信息 安全 等 级 保护 工作 参考 。 


(3) 开展 等 级 保护 基础 调研 


2005 年 底 ， 公 安 部 和 国信 办 联合 印发 了 《关于 开展 信息 系统 安全 等 级 保护 基础 调查 工作 的 通知 》 (公信 安 [2005]1431 
号 ) ， 就 此 拉 开 2006 年 信息 安全 等 级 保护 工作 的 序幕 。2006 年 1 月 17 日 ， 根 据 《 实 施 意 见 》， 公 安 部 、 国 家 保密 局 、 国 家 密码 
管理 局 和 国务 院 信息 化 工作 办 公 室 (以 下 简称 “国信 办 ”) 联合 发 布 《 关 于 印发 《信息 安全 等 级 保护 管理 办 法 (试行 ) 〉 的 通 
知 》 ( 公 通 字 [2006]7 号 ) ， 于 2006 年 3 月 1 日 起 实施 。 





2006 年 5 月 20 日 ， 信 息 安全 等 级 保护 基础 调查 工作 初步 完成 ， 共 调研 了 涉及 各 级 财政 、 人 金融、 税务、 海关、 审计、 工商 、 社 
会 保障 、 能 源 、 交 通 运输 、 国 防 工业 、 公 用 通信 和 广播 电视 传媒 等 4897 个 信息 系统 。 


(4) 开展 等 级 保护 试点 工作 


2006 年 5 月 19 日 ， 由 公安 部 副 部 长 任 组 长 ， 公 安 部 、 国 家 保密 局 、 国 家 密码 管理 局 和 国信 办 有 天 领导 为 成 员 的 国家 等 级 保护 
工作 协调 小 组 召开 了 第 一 次 会 议 。 信 息 产 业 部 、 广 电 总 局 、 铁 道 部 、 人 民 银 行 、 海 关 总 署 、 国 税 总 局 、 民 航 总 局 、 国 家 电网 公 
司 、 证 监 会 和 保监会 等 国家 基础 信息 网 络 和 重要 信息 系统 主管 部 门 的 有 关 领 导 参 加 了 本 次 会 议 。2006 年 6 月 6 日 ， 公 安 部 、 国 家 
保密 局 、 国 家 密码 管理 局 和 国信 办 联合 正式 下 发 了 《关于 开展 信息 安全 等 级 保护 试点 工作 的 通知 》 (公信 安 [2006]573 号 ) ， 确 
定 从 2006 年 7~10 月 组 织 开展 信息 安全 等 级 保护 试点 工作 。 


(5) 开展 等 级 保护 定 级 工作 ， 等 级 保护 获得 快速 推进 





2007 年 6 月 22 日 ， 公 安 部 、 保 密 局 、 密 码 管 理 局 和 国信 办 四 部 委 联 合 正式 下 发 《关于 印发 《信息 安全 等 级 保护 管理 办 法 〉 的 
通知 》 ( 公 通 字 [2007]43 号 ) ， 标 志 着 信息 安全 等 级 保护 工作 的 正式 实行 。 该 管理 办 法 正式 确定 了 信息 安全 等 级 保护 制度 的 基本 
内 容 及 各 项 工作 要 求 ， 进 一 步 明 确 了 国家 、 人 公民、 法 人 和 其 他 组 织 在 等 级 保护 工作 中 的 责任 和 义务 ， 各 职能 部 门 在 信息 安全 等 级 
保护 工作 中 的 职责 分 工 ， 以 及 信息 系统 运营 使 用 单位 、 行 业主 管 部 门 的 安全 保障 法 律 责任 。 


公安 部 、 国 家 保密 局 、 国 家 密码 管理 局 和 国信 办 于 2007 年 7 月 26 日 联合 下 发 《关于 开展 全 国 重要 信息 系统 安全 等 级 保护 定 级 
工作 的 通知 》 (公信 安 [2007]861 号 ) ， 部 署 各 省 、 自 治 区 、 直 辖 市 公安 、 保 密 、 密 码 管理 、 信 息 化 领导 小 组 办 公 室 以 及 中 央 和 
国家 机 关 各 部 委 相关 部 门 组 织 开 展 重要 信息 系统 安全 等 级 保护 定 级 工作 。 


2.24 ”信息 安全 风险 评估 


重视 信息 安全 风险 评估 是 信息 化 发 达 国 家 的 重要 经 验 ， 作 为 风险 评估 先驱 者 的 信息 化 发 达 国 家 越 来 越 重 视 信息 系 统 风险 评估 
工作 。 早 在 20 世 纪 70 年 代 初期 ， 美 国政 府 就 提出 了 风险 评估 的 要 求 ， 要 求 联 邦 政府 部 门 依据 信息 和 信息 系统 所 面临 的 风险 ， 根 
据 信息 丢失 、 滥 用 、 泄 露 和 未 授权 访问 等 造成 损失 的 大 小 ， 制 订 、 实 施 和 维持 信息 安全 计划 ， 以 保证 信息 和 信息 系统 的 适度 安 
全 。2002 年 颁布 的 《2002 联 邦 信息 安全 管理 法 》 对 信息 安全 风险 评估 提出 了 更 加 具体 的 要 求 ， 指 定 联邦 管理 和 预算 办 公 室 
(Office of Management and Budget，OMB) 督促 这 项 工作 ， 要 求 各 联邦 机 构 周 期 性 地 评估 各 自信 息 和 信息 系统 的 未 授权 
访问 、 信 息 泄 露 、 服 务 中 断 和 系统 破坏 所 造成 的 风险 和 危害 ， 周 期 性 地 测试 信息 安全 措施 和 技术 的 有 效 性 。 


2006 年 6 月 ， 美 国 国土 安全 部 正式 发 布 了 《国家 基础 设施 保护 计划 》 (National Infrastructure Protection 
Plan，NIPP) 。NIPP 是 美国 国土 安全 框架 的 一 个 关键 要 素 ， 它 是 建立 于 一 系列 国家 战略 之 上 ， 包 括 2002 年 7 月 发 布 的 《国土 安 
全 战略 》，2003 年 2 月 发 布 的 《关键 基础 设施 和 重要 资产 物理 保护 的 国家 战略 》，2003 年 2 月 发 布 的 《保护 网 际 空间 国家 战 
略 》， 以 及 2003 年 12 月 发 布 的 第 7 号 国土 安全 总 统 令 。 从 NIPP 和 这 一 系列 美国 国家 战略 中 可 以 看 出 ， 以 风险 管理 框架 为 基础 开 
展 风险 评估 工作 ， 已 经 成 为 美国 等 西方 发 达 国 家 保障 关键 基础 设施 和 重要 资源 ， 从 而 保护 国土 安全 的 一 个 核心 要 素 和 重要 手段 。 


站 意义 


言 息 安 全 风险 评估 是 信息 安全 保障 体系 建立 过 程 中 一 种 重要 的 评价 方法 和 决策 机 制 ， 在 信息 安全 保障 体系 建设 中 具有 不 可 蔡 
代 的 地 位 和 重要 作用 。 信 息 安全 风险 评估 是 信息 安全 保障 的 基础 性 工作 ， 它 既是 明确 安全 需求 、 确 定安 全 保障 重点 的 科学 方法 和 
手段 ， 又 是 信息 安全 建设 和 管理 的 重要 保证 。 没 有 准确 及 时 的 风险 评估 ， 各 个 机 构 无 法 对 其 信息 安全 的 状况 做 出 准确 的 判断 。 


风险 评估 工作 的 目的 是 为 国家 信息 化 发 展 服务 ， 促 进 信息 安全 保障 体系 的 建设 ， 提 高 信息 系统 的 安全 保护 能 力 。 目 前 ， 国 家 


关键 基础 设施 对 信息 系统 的 依赖 性 越 来 越 强 ， 因 此 ， 许 多 重要 信息 网 络 和 重要 信息 系统 单位 开展 信息 安全 风险 评估 的 需求 越 来 越 
人 迫切， 一 些 大 型 应 用 行业 在 考虑 信息 系统 建设 的 布局 时 ， 已 经 在 信息 安全 评估 、 咨 询 和 规划 方面 投入 了 实质 性 的 资金 支持 。 现 阶 
段 ， 风 险 评估 工作 的 主要 任务 是 要 认 清 信息 安全 环境 和 状况 ， 采 取 和 完善 安全 保障 措施 ， 使 其 更 加 经 济 有 效 ， 并 使 信息 安全 策略 
保持 一 致 性 和 持续 性 。 


风险 评估 工作 的 意义 和 作用 ， 具体 体 现在 以 下 几 个 方面 。 
(1) 信息 安全 风险 评估 是 信息 安全 建设 的 起 点 和 基础 


信息 安全 风险 评估 是 科学 分 析 信 息 和 信息 系统 在 保密 性 、 完 整 性 和 可 用 性 等 方面 所 面临 的 风险 ， 揭 示 一 个 组 织 机 构 的 风险 状 
况 ， 并 提出 改进 风险 状况 的 建议 的 工作 。 只 有 在 正确 、 全 面 认识 风险 后 ， 才 能 在 控制 风险 、 减 少 风险 、 转 移 风 险 和 接受 风险 之 间 
做 出 正确 的 判断 ， 才 能 决定 调动 多 少 资源 ， 采 取 何 种 应 对 措施 去 化 解 、 降 低 风 险 。 所 有 信息 安全 建设 和 管理 都 应 该 是 基于 信息 安 
全 风险 评估 的 结果 ， 只 有 这 样 ， 信 息 安全 建设 才能 做 到 从 实际 出 发 ， 坚 持 需求 主导 、 突 出 重点 ， 以 最 小 的 代价 去 最 大 程度 地 保障 
安全 。 


风险 评估 既是 实施 信息 系统 安全 等 级 保护 的 前 提 ， 又 是 信息 系统 安全 建设 和 安全 管理 的 基础 工作 。 通 过 风险 评估 ， 能 及 早 发 
现 和 解决 问题 ， 防 患 于 未 然 。 当 前 ， 尤 其 迫切 需要 对 我 国 基础 信息 网 络 和 关系 国家 安全 、 经 济 命脉 、 社 会 稳定 等 方面 的 重要 信息 
系统 进行 持续 的 风险 评估 ， 随 时 掌握 其 安全 状态 ， 及 时 采取 有 针对 性 的 应 对 措施 ， 为 建立 全 方位 的 国家 信息 安全 保障 体系 提供 服 
务 。 通 过 风险 评估 可 以 有 助 于 认 清 信息 安全 环境 和 信息 安全 状况 ， 明 确信 息 化 建设 中 各 级 的 责任 ,采取 或 完善 更 加 经 济 有 效 的 安 
全 保障 措施 ， 保 证 信息 安全 策略 的 一 致 性 和 持续 性 ， 进 而 服务 于 国家 信息 化 的 发 展 ， 促 进 信息 安全 保障 体系 的 建设 ， 全 面 提高 信 
息 安 全 保障 能 力 。 


(2) 信息 安全 风险 评估 是 信息 安全 建设 和 管理 的 科学 方法 


言 息 系 统 的 安全 性 取决 于 系统 的 资产 、 脆 弱 性 和 威胁 等 多 种 安全 要 素 ， 这 些 要 素 之 间 的 关系 以 及 与 系统 环境 的 关系 。 资 产 包 
括 设备 、 软 件 、 数 据 以 及 人 员 等 ， 脆 弱 性 包括 系统 自身 在 结构 上 、 管 理 上 和 技术 上 的 弱点 和 不 足 ， 威 胁 有 自然 威胁 与 人 为 威胁 、 
内 部 威胁 与 外 部 威胁 等 ， 包 括 病 毒 传播 、 黑 客 攻 击 、 网 络 穷 密 等 。 风 险 评估 提供 了 这 样 一 种 科学 的 方法 ， 它 将 系统 的 风险 理论 应 
用 于 某 一 组 织 的 具体 生产 运营 环境 ， 使 组 织 的 管理 层 和 决策 层 能 了 解 组 织 信息 安全 的 客观 状况 ， 基 于 对 现状 的 了 解 ， 才 能 做 出 后 
续 信息 安全 相关 建设 的 正确 决策 。 


(3) 风险 评估 实际 上 是 在 倡导 一 种 适度 安全 


从 理论 上 讲 ,不 存在 绝对 的 安全 ， 风 险 总 是 客观 存在 的 。 风 险 评 估 并 不 追求 零 风险 ,不计 成 本 的 绝对 安全 ， 或 者 试图 完全 消 
灭 风险 。 信 息 安全 风险 评估 要 求 在 认 清风 险 的 基础 上 ， 决 定 哪些 风险 是 必须 要 避免 的 ， 哪 些 风险 是 可 以 容忍 的 。 也 就 是 说 ， 信 息 
安全 风险 评估 要 求 组 织 的 管理 者 在 风险 与 成 本 之 间 寻 求 一 个 最 佳 平衡 点 ， 这 体现 了 适度 安全 的 原则 。 


2. 实 践 历程 


在 我 国 ， 实 施 信息 安全 风险 评估 已 有 十 余年 。 国 家 政策 性 文件 《国家 信息 化 领导 小 组 关于 加 强 信息 安全 保障 工作 的 意见 》 
(中 办 发 [2003] 27 号 ) 对 信息 安全 风险 评估 工作 的 重视 ， 促 使 我 国 的 信息 安全 风险 评估 工作 开始 进入 快车 道 。 为 贯彻 国家 政 
策 对 风险 评估 工作 的 要 求 ，2003 年 ， 国 信 办 成 立 课题 组 ， 启 动 了 信息 安全 风险 评估 工作 。 课 题 组 通过 调研 、 标 准 编写 和 试点 3 个 
阶段 的 工作 ， 先 后 对 北京 、 广 州 、 深 圳 和 和 上海 4 个 地 区 十 几 个 行业 的 50 多 家 单位 进行 了 深入 细致 的 调查 与 研究 。 在 调查 研究 的 基 
础 上 ,课题 组 撰写 了 《信息 安全 风险 评估 调查 报告 》 和 《信息 安全 风险 评估 研究 报告 》， 全 面 介绍 信息 安全 风险 评估 的 基本 概 
念 、 基 本 理论 和 基本 方法 ， 痢 述 了 信息 安全 风险 评估 的 意义 以 及 在 我 国 推动 信息 安全 风险 评估 工作 的 具体 建议 。 


2004 年 1 月 9 日 ， 全 国信 息 安全 保障 工作 会 议 在 北京 召开 ， 该 会 对 风险 评估 工作 提出 了 明确 要 求 ， 要 “抓紧 研究 制定 基础 信 


息 网 络 和 重要 信息 系统 风险 评估 的 管理 规范 ， 并 组 织 力 量 提供 技术 支持 。 根 据 风 险 评估 结果 ， 进 行 相应 等 级 的 安全 建设 和 管理 ， 
特别 是 对 涉及 国家 机 密 的 信息 系统 ， 要 按照 党 和 国家 有 关 保 密 规定 进行 保护 。 对 涉及 国计民生 的 重要 信息 系统 ， 要 进行 必要 的 信 
息 安 全 检查 。”2004 年 3~9 月 ， 国 家 信息 中 心 组 织 国 内 二 十 多 家 单位 ， 编 制 完成 了 《信息 安全 风险 评估 指南 》、《 信 息 安全 风 
险 管理 指南 》 等 标准 规范 草案 。 


2005 年 2~8 月 ， 国 务 院 信息 办 在 北京 市 、 上 海 市 、 黑 龙 江 省 、 云 南 省 、 人 民 银 行 、 税 务 总 局 、 国 家 电网 公司 、 国 家 信息 中 
心 等 地 方 、 部 门 和 单位 组 织 开展 了 国家 基础 信息 网 络 和 重要 信息 系统 信息 安全 风险 评估 试点 工作 ， 进 一 步 完善 两 个 标准 草案 并 验 
证 两 个 标准 草案 的 可 用 性 ， 为 全 面 推广 信息 安全 风险 评估 工作 ， 出 台 信 息 安全 风险 评估 相关 政策 文件 进行 了 实践 探索 。 开 展 风险 
评估 试点 工作 显著 提高 了 试点 单位 信息 安全 防护 和 管理 水 平 ， 探 索 了 风险 评估 工作 的 基本 规律 和 方法 ， 检 验 并 完善 了 有 关 标 准 ， 
培养 和 锻炼 了 人 才 队 伍 。 


2005 年 12 月 16 日 ， 国 家 网 络 与 信息 安全 协调 小 组 正式 通过 了 《关于 开展 信息 安全 风险 评估 的 意见 》， 于 2006 年 1 月 正式 发 
布 ， 标 志 着 我 国 将 开始 在 全 国 范围 内 ， 尤 其 是 基础 信息 网 络 和 重要 信息 系统 ， 推 进 信息 安 全 风险 评估 工作 ， 使 信息 安全 风险 评估 
工作 在 实践 中 更 加 深入 。 该 意见 明确 关系 国计民生 和 社会 稳定 的 基础 信息 网 络 和 重要 信息 系统 的 信息 安全 风险 评估 技术 服务 由 国 
家 专 控 队伍 承担 。 中 国信 息 安全 测评 中 心 和 国家 信息 技术 安全 研究 中 心 是 国家 信息 安全 风险 评估 专 控 队 伍 。 自 2006 年 起 ， 每 年 
国信 办 都 组 织 风 险 评估 专 控 队伍 对 全 国 基础 信息 网 络 和 重要 信息 系统 进行 检查 。2006 年 3 月 7 日 ， 国 信 办 分 别 在 北京 、 云 南 组 织 
召开 了 全 面 推进 信息 安全 风险 评估 工作 的 宣 贯 会 ， 由 此 拉 开 我 国 分 步 全 面 推广 信息 安全 风险 评估 工作 的 序幕 。 


2007 年 发 布 的 GB/T 20984 一 2007《 信 息 安 全 风险 评估 规范 》 和 2009 年 发 布 的 GB/Z 24364 一 2009《 信 息 安全 风险 管理 指 
南 》， 使 我 国 的 风险 评估 和 风险 管理 工作 更 趋 规范 。 


2.2.5 ”灾难 恢复 


灾难 恢复 能 力 是 信息 安全 保障 能 力 的 重要 组 成 部 分 。 灾 难 性 事件 的 破坏 力 是 巨大 的 ， 然 而 最 近 几 年 ， 灾 难 性 事件 频 发 ， 由 此 
导致 很 多 关键 业务 系统 中 断 ， 造 成 严重 后 果 。 确 保 灾 难过 后 关键 业务 能 在 较 短 时 间 内 恢复 是 信息 安全 保障 工作 的 目标 之 一 。 灾 难 
恢复 规划 是 实现 业务 连续 性 的 重要 步骤 ， 是 信息 安全 保障 实践 的 重要 内 容 。 


1 意义 


灾难 恢复 是 指 将 信息 系统 从 灾难 造成 的 故障 或 次 痪 状态 恢复 到 可 正常 运行 状态 ， 并 将 其 支持 的 业务 功能 从 不 正常 状态 恢复 到 
可 接受 状态 而 设计 的 活动 和 流程 。 


当前 ， 信 息 系 统 灾难 恢复 工作 已 经 引起 了 国家 、 社 会 和 单位 的 高 度 重 视 。 灾 难 恢复 是 单位 保持 业务 连续 运作 的 需要 ， 长 期 可 
寺 续 发 展 的 要 求 。 它 是 单位 加 强风 险 管理 ， 提 高 市 场 竞争 力 的 重要 手段 ， 同 时 也 是 保证 国家 安全 、 人 民利 益 、 社 会 稳定 和 经 济 发 
展 的 需要 。 国 内 、 外 一 系列 已 经 发 生 的 信息 安全 事件 表明 ， 如 果 没 有 应 对 灾难 的 准备 和 一 定 的 恢复 能 力 ， 重 要 信息 系统 一 旦 发 生 
重大 事故 或 者 遭遇 突 发 事件 ， 将 严重 影响 国民 经 济 发 展 和 社会 稳定 。 灾 难 恢复 是 为 高 风险 、 低 概率 事件 所 准备 的 。 在 一 般 情 况 
下 ， 灾 难 恢复 资源 处 于 闲置 状态 ， 但 当 灾 难 来 临时 ， 若 灾难 备份 中 心 不 能 正常 发 挥 作 用 ， 将 对 单位 和 社会 造成 巨大 的 损失 和 影 
响 。 而 信息 系统 灾难 恢复 管理 是 信息 安全 保障 的 重要 组 成 部 分 ， 灾 难 恢 复 建设 是 现 有 信息 系统 安全 保护 的 延伸 ， 承 载 灾 难 恢复 系 
统 建设 的 灾 备 中 心 是 保障 信息 安全 的 重要 基础 设施 。 灾 难 恢复 是 整个 信息 安全 应 急 工 作 的 一 个 重要 环节 ， 是 信息 安全 综合 保障 的 
最 后 一 道 防线 。 我 国政 府 高 度 重视 重要 信息 系统 的 灾难 备份 和 灾难 恢复 工作 ， 出 台 了 有 关 政 策 和 指南 。 


2. 实 践 历程 


20 世 纪 90 年 代 示 期， 一 些 单位 在 信息 化 建设 的 同时 ， 开 始 关注 数据 的 安全 保护 ， 进 行 数据 的 备份 和 恢复 。 但 当时 ， 无 论 从 
灾难 恢复 理论 水 平 、 重 视 程度 、 从 业 人 员 数 量 和 质量 ， 还 是 技术 水 平方 面 都 很 不 成 熟 。 


2000 年 的 “ 干 年 虫 ”事件 和 2001 年 的 “9.11” 事 件 引发 了 国内 对 信息 系统 灾难 的 集体 性 天 注 。 随 着 国内 信息 化 建设 的 不 断 
完善 ， 以 及 数据 大 集中 的 开展 ， 国 家 对 灾难 恢复 工作 高 度 重视 ， 越 来 越 多 的 单位 和 部 门 认 识 到 灾难 恢复 的 重要 性 和 必要 性 ， 开 展 
灾难 恢复 建设 的 时 机 已 基本 成 熟 。 


2002 年 4 月 ， 银 监 会 颁布 了 《商业 银行 内 部 控制 指引 》， 其 中 第 八 章 《计算 机 信息 系统 的 内 部 控制 》 第 一 百 一 十 七 条 指出 : 
建立 和 健全 计算 机 信息 系统 风险 防范 的 制度 ， 确 保 计 算 机 信息 系统 设备 、 数 据 、 系 统 运行 和 系统 环境 的 安全 ; 第 一 百 三 十 一 条 中 
明确 规定 : 商业 银行 应 当 建 立 计算 机 安全 应 急 系统 ， 制 订 详 细 的 应 急 方案 ， 并 定期 进行 修订 和 演练 。 数 据 备份 应 当做 到 异地 存 
放 ， 在 条 件 允 许 时 ， 应 当 建 立 异 地 计算 机 灾难 备份 中 心 。2002 年 8 月 ， 人 民 银 行 下 发 的 《中 国人 民 银 行 关于 加 强 银行 数据 集中 安 
全 工作 的 指导 意见 》 中 明确 规定 : “为 保障 银行 业务 的 连续 性 ， 确 保 银行 稳健 运行 ， 实 施 数据 集中 的 银行 必须 建立 相应 的 灾难 备 
份 中 心 ”。 


2004 年 9 月 ， 国 信 办 印发 了 《关于 做 好 重要 信息 系统 灾难 备份 工作 的 通知 》 (信安 通 [2004]11 号 ) ， 对 做 好 国家 重要 信息 系 
统 灾难 备份 工作 的 主要 目标 、 基 本 原则 和 近期 任务 提出 了 明确 要 求 。 文 件 强 调 了 “统筹 规划 ， 资 源 共 享 ， 平 战 结合 ”的 灾 备 工作 
原则 。 为 进一步 推动 8 个 重点 行业 加 快 实施 灾难 恢复 工作 ， 国 信 办 于 2005 年 4 月 下 发 了 《重要 信息 系统 灾难 恢复 指南 》 (以 下 简 
称 《指南 》) ， 指 明了 灾难 恢复 工作 的 流程 ， 灾 备 中 心 的 等 级 划分 及 灾难 恢复 预案 的 制定 ， 使 得 灾难 恢复 建设 迈 上 了 一 个 新 的 台 
阶 。 

2006 年 ， 在 《指南 》 工 作 组 的 基础 上 ， 成 立 了 标准 工作 组 ， 编 写 《 信 息 系统 灾难 恢复 规范 》 (以 下 简称 《规范 》) ， 编 制 


任务 由 全 国信 息 安全 标准 化 委员 会 下 达 ， 由 中 国信 息 安 全 测评 中 心 承担 。2007 年 6 月 14 日 《规范 》 正 式 发 布 ， 编 号 为 GB/T 
20988 一 2007， 这 是 我 国 灾难 恢复 行业 第 一 部 国家 标准 。 


除了 国家 政策 上 的 支持 ， 近 年 来 ， 各 行业 为 了 提高 信息 系统 的 可 靠 性 ， 也 逐步 展开 了 信息 系统 的 灾难 恢复 建设 。 随 着 各 单位 
对 灾难 恢复 重视 程度 的 提高 ， 相 关 管 理 办 法 和 规范 陆续 出 台 ，2004 年 ， 中 国 灾难 恢复 市 场 开始 初 具 规 模 。 目 前 ， 深 圳 市 已 经 开 
始 建设 灾 备 中 心 ， 北 京 、 上 海 、 广 州 和 杭州 等 地 方 政府 正在 研究 建设 灾 备 中 心 。 有 关 部 委 也 在 启动 灾难 恢复 工作 ， 海 关 总 署 已 建 
成 灾 备 中 心 ， 其 他 一 些 单位 的 灾 备 中 心 也 在 建设 或 规划 中 。 


2005 年 5 月 和 2006 年 7 月 ， 在 国务 院 信息 办 的 指导 下 ， 中 国信 息 产业 高 会 信息 安全 产业 分 会 分 别 在 广东 南海 和 北京 成 功 举办 
了 灾难 恢复 行业 高 层 论坛 和 研讨 会 ， 对 中 国 灾难 恢复 行业 有 序 、 健 康 发 展 起 到 了 积极 推动 作用 。 


2.2.6 人才 队 伍 建 设 


构建 信息 安全 保障 体系 的 各 项 工作 ， 都 需要 具有 相应 信息 安全 知识 和 技能 的 人 员 来 推动 。 然 而 ， 信 息 安全 人 才 短 缺 却 是 当前 
我 国信 息 安全 保障 工作 面临 的 主要 问题 之 一 。 针 对 这 一 现状 ， 国 家 已 经 先后 在 多 个 政策 和 规划 当中 提出 加 快 加 强 信息 安全 人 才 队 
伍 建设 的 要 求 。 


下 意义 


在 整个 信息 安全 保障 工作 中 ， 人 是 最 核心 、 最 活跃 的 因素 ， 信 息 安全 保障 工作 最 终 也 是 通过 人 来 落实 的 。 因 此 ， 加 快 信息 安 
全 人 才 培 养 体系 建设 是 发 展 我 国信 息 安全 保障 体系 必 备 的 基础 和 先决 条 件 。 


多 年 来 ， 国 家 高 度 重视 我 国信 息 安 全 人 才 队 伍 的 培养 和 建设 。2003 年 9 月 ， 中 共 中 央 办 公 厅 、 国 务 院 办 公 厅 转发 了 《国家 信 


息 化 领导 小 组 关于 加 强 信息 安全 保障 工作 的 意见 》 (中 办 发 [2003]27 号 ) ， 针 对 信息 安全 人 才 建 设 与 培养 工作 提出 了 “加 快 信息 
安全 人 才 培 养 ， 增 强 全 民 信息 安全 意识 ”的 指导 精神 。2010 年 4 月 6 日 ， 中 央 军 委 印 发 《关于 加 强 新 形势 下 军队 信息 安全 保障 工 
作 的 意见 》， 意 见 提出 要 加 强 信息 安全 人 才 队 伍 建设 ， 抓 好 专业 力量 训练 和 组 织 运 用 ， 要 充分 发 挥 广大 官兵 在 信息 安全 防护 中 的 
主体 作用 ， 采 取 多 种 形式 开展 信息 安全 教育 ， 进 一 步 增 强 信息 安全 意识 。2012 年 5 月 ， 国 务 院 常务 会 议 发 布 了 《关于 大 力 推 进 信 
息 化 发 展 和 切实 保障 信息 安全 的 若干 意见 》 ， 明 确 提 出 加 强 宣传 教育 和 人 才 培 养 ， 开 展 面向 全 社会 的 信息 化 应 用 和 信息 安全 宣传 
教育 培训 。 


我 国 培养 信息 安全 人 才 以 建成 国家 信息 安全 保障 体系 为 目标 ， 明 确信 息 安全 人 才 培 养 的 使 命 ， 把 培养 信息 安全 高 级 人 才 与 信 
息 安 全 的 普及 教育 相 结 合 ， 提 高 公民 的 信息 安全 意识 。 在 加 强 学 科教 育 的 同时 ， 加 大 信息 安全 职业 培训 的 规模 ， 满 足 社会 信息 化 
发 展 的 需求 。 


2. 实 践 历程 


2005 年 ， 教 育 部 发 布 《 教 育 部 关于 进一步 加 强 信息 安全 学 科 、 专 业 建设 和 人 才 培 养 工 作 的 意见 》， 从 加 强 信息 安全 学 科 体 
系 研 究 、 信 息 安全 硕士 和 博士 点 建设 、 稳 定 信息 安全 本 科 专 业 设置 和 建立 信息 安全 继续 教育 制度 等 十 个 方面 提出 了 指导 性 意见 。 
2007 年 我 国 成 立 了 “教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 ”， 进 一 步 促 进 了 高 校 的 信息 安全 学 科 建 设 。 


1999~2012 年 ， 我 国 已 有 80 余 所 高 校 建 六 了 信息 安全 本 科 专 业 ， 每 年 培养 信息 安全 类 专业 本 科 毕 业 生 近 万 人 ， 信 息 安全 学 
科 建 设 和 和 人才 培养 进入 热潮 阶段 。 从 2001 年 武汉 大 学 创建 全 国 第 一 个 信息 安全 本 科 专 业 ， 到 北京 大 学 软件 与 微 电 子 学 院 宣 布 正 
式 成 立信 息 安全 系 ， 各 高 校 在 互联 网 安全 监察 、 等 级 保护 、 风 险 评 估 、 网 络 攻 防 、 内 容 安 全 、 数 字 版 权 保护 、 安 全 策略 管理 、 安 
全 系统 设计 与 监理 、 计 算 机 犯罪 取证 、 安 全 标准 与 管理 规范 等 多 个 方面 形成 了 信息 安全 工程 硕士 的 培养 体系 ， 并 已 经 向 政府 立 
法 、 执 法 、 监 管 和 广大 企 、 事 业 单位 输送 了 大 批 专 门人 才 。 我 国信 息 安全 专业 教育 已 基本 形成 了 从 专科 、 本 科 、 硕 士 、 博 士 到 博 
士 后 的 正规 高 等 教育 人 才 培 养 体系 。 


除 正规 大 学 教育 外 ， 我 国信 息 安全 非 学 历 教育 已 基本 形成 了 以 各 种 认证 为 核心 ， 辅 以 各 种 职业 技能 培训 的 信息 安全 人 才 培 训 
体系 。 这 种 培训 认证 是 提高 信息 安全 从 业 人 员 整 体 水 平 ， 解 决 信息 安全 专业 人 才 缺 口 的 重要 方法 和 途径 。 目 前 ， 我 国信 息 安全 认 
证 培训 主要 是 政府 相关 部 门 的 认证 ， 如 中 国信 息 安全 测评 中 心 的 “注册 信息 安全 专业 人 员 ” (Certified Information Security 
Professional，CISP) 资质 认证 ; 以 及 一 些 信息 安全 企业 认证 ， 如 微软 、 思 科 等 。 这 些 都 对 提高 信息 安全 专业 人 员 的 理论 和 技术 
水 平 ， 提 升 信息 安全 产业 的 竞争 能 力 ， 强 化 国家 信息 安全 管理 起 到 了 重要 作用 。 


然而 ， 我 国 现 有 信息 安全 人 才 培 养 状况 尚 不 能 满足 国家 政府 部 门 、 基 础 信息 系统 和 网 络 等 关系 到 国计民生 的 重要 部 门 与 行业 
的 需求 。 一 方面 ， 国 内 每 年 对 信息 安全 人 才 的 需求 量 高 达 数 十 万 ， 今 后 一 段 时 间 ， 还 将 持续 增长 ， 而 人 才 供 给 (包括 学 历 教育 和 
在 职 教育 ) 每 年 不 到 3 万 人 ， 在 未 来 一 段 时 间 内 ， 信 息 安 全 从 业 人 员 的 数量 同 社会 实际 需求 仍然 存在 较 大 缺口 。 另 一 方面 ， 信 息 
安全 人 才 综 合 能 力 要 求 高 ， 知 识 更 新 快 ， 而 当前 我 国信 息 安全 教育 应 用 实践 性 不 足 ， 难 以 满足 用 人 单位 的 深层 次 、 个 性 化 要 求 。 


2.3 ”信息 安全 保障 工作 万 法 


信息 安全 问题 的 复杂 性 和 信息 安全 范畴 的 广泛 性 ， 决 定 了 开展 信息 安全 保障 工作 ， 需 要 有 科学 的 方法 。 将 信息 安全 保障 工作 
划分 为 确定 信息 安全 需求 、 设 计 并 实施 信息 安全 方案 、 信 息 安 全 测评 、 监 测 与 维护 信息 安全 4 个 阶段 过 程 ， 既 是 一 种 有 效 的 信息 
安全 保障 工作 方法 ， 也 是 合理 的 信息 安全 保障 工作 步骤 。 


2.3.1 ”确定 信息 安全 需求 


信息 安全 需求 是 安全 方案 设计 和 安全 措施 实施 的 依据 。 准 确 地 提取 安全 需求 ， 一 方面 可 以 保证 安全 措施 全 面 覆 盖 信 息 系统 面 
临 的 风险 ， 使 安全 防护 能 力 达 到 业务 目标 和 法 规 政策 要 求 。 另 一 方面 可 以 提高 安全 措施 的 针对 性 ， 避 免 不 必 要 的 安全 投入 ， 防 止 
浪费 。 


1. 信 息 系统 安全 保障 需求 来 源 


言 息 系统 安全 保障 需求 ， 主 要 来 源 于 以 下 3 个 方面 : 首先 是 符合 性 要 求 (也 称 为 遵循 性 要 求 ) ， 即 信息 系统 安全 保障 策略 必 
须 遵 循 国家 相关 法 律 法 规 、 标 准 、 行 业 规 定 以 及 机 构 整 体 安全 策略 ， 如 等 级 保护 要 求 等 ， 其 次 是 信息 系统 所 承载 业务 正常 运行 的 
需求 ， 不 同业 务 对 于 信息 安全 的 属性 要 求 不 同 ， 如 军队 、 政 府 部 门 常常 把 信息 的 保密 性 放 在 首位 ， 能 源 、 交 通 等 行业 往往 把 可 用 
性 放 在 首位 ， 金 融 等 行业 更 重视 信息 的 完整 性 ， 但 无 论 哪个 业务 ， 都 不 能 只 片面 地 考虑 某 一 个 属性 而 忽略 其 他 属性 的 要 求 ; 最 后 
是 信息 系统 所 面临 的 风险 ， 需 要 根据 风险 的 轻重 缓急 ， 重 点 将 重大 和 急迫 风险 的 消除 或 降低 作为 保障 需求 。 


.需求 制定 方法 


言 息 系 统 安全 保障 的 具体 需求 由 信息 系统 保护 轮廓 (Information Systems Protection Profile，ISPP) 确定 。1SPP 是 根据 
组 织 机 构 使 命 和 所 处 的 运行 环境 ， 从 组 织 机 构 策 略 和 风险 的 实际 情况 出 发 ， 对 具体 信息 系统 安全 保障 需求 和 能 力 进行 具体 描述 。 
它 是 从 信息 系统 所 有 者 (用 户 ) 的 角度 规范 化 、 结 构 化 地 描述 信息 系统 安全 保障 需求 。 


根据 ISSP 要 求 ， 信 息 系 统 安 全 需求 的 标准 格式 应 包括 如 下 7 个 部 分 : 引言 、 信 息 系统 描述 、 信 息 系统 安全 环境 、 安 全 保障 目 
的 、 安 全 保障 要 求 、ISPP 应 用 注解 以 及 符合 性 声明 。 


其 中 ， 信 息 系统 描述 主要 是 说 明 信 息 系统 的 范围 、 网 络 结构 、 主 机 操作 系统 与 数据 库 、 应 用 等 方面 内 容 。 信 息 系 统 安 全 环境 
主要 描述 信息 系统 所 处 的 环境 、 面 临 的 威胁 、 信 息 系统 采用 的 安全 策略 等 。 安 全 保障 目的 主要 描述 预期 安全 需求 要 达到 的 目标 ， 
需要 指出 的 是 ， 安 全 目的 不 宜 涉及 安全 需求 的 实现 细节 。 


安全 保障 要 求 是 安全 需求 的 主要 陈述 部 分 ， 包 括 控制 要 求 和 能 力 成 熟 度 (Capability Maturity，CM) 要 求 。 安 全 保障 要 求 
的 组 成 如 下 : 一 是 安全 技术 保障 要 求 ， 技 术 保障 要 求 来 自 支 持 信息 系统 安全 保障 的 那些 技术 领域 中 期 望 的 安全 行为 ，GB/T 
20274《 信 息 系统 安全 保障 评 佑 保障 评估 框架 》 第 2 部 分 定义 了 安全 技术 保障 控制 要 求 和 技术 架构 能 力 成 熟 度 级 ; 二 是 安全 管理 
保障 要 求 ， 管 理 保障 要 求 来 自 支 持 信息 系统 安全 保障 的 那些 管理 领域 中 期 望 的 安全 行为 ，GB/T 20274《 信 息 系统 安全 保障 评估 
保障 评估 框架 》 第 3 部 分 定义 了 安全 管理 保障 控制 要 求 和 管理 能 力 成 熟 度 级 ， 三 是 安全 工程 保障 要 求 ， 工 程 保障 要 求 来 自 支 持 信 
息 系 统 安 全 保障 的 那些 工程 领域 中 期 望 的 安全 行为 ，GB/T 20274《 信 息 系统 安全 保障 评估 保障 评估 框架 》 第 4 部 分 定义 了 安全 
工程 保障 控制 要 求 和 工程 能 力 成 熟 度 级 。 通 过 合理 选择 安全 技术 、 管 理 和 工程 保障 控制 要 求 及 其 能 力 成 熟 度 级 ， 可 以 确保 达到 一 
定 的 安全 保障 目的 。 


ISPP 应 用 注解 是 补充 一 些 相关 附加 信息 ， 符 合 性 声明 则 说 明 安 全 保障 目的 符合 安全 环境 要 求 ， 安 全 保障 要 求 满足 安全 保障 
目的 。 


2.3.2 ”设计 并 实施 信息 安全 方案 


信息 安全 保障 解决 方案 是 一 个 动态 的 风险 管理 过 程 ， 通 过 对 信息 系统 全 生命 周期 的 风险 控制 ， 来 解决 在 运行 环境 中 信息 系统 
安全 建设 所 面临 的 各 种 问题 ， 从 而 有 效 保障 业务 系统 及 应 用 的 持续 发 展 。 


言 息 安 全 保障 方案 是 以 安全 需求 为 依据 进行 设计 的 。 在 设计 安全 方案 时 ， 需 要 确保 方案 贴 合 实际 ， 具 有 可 实施 性 ， 包 括 可 接 
受 的 成 本 、 合 理 的 进度 、 技 术 可 实现 性 ， 以 及 组 织 管理 和 文化 的 可 接受 性 。 


在 工作 中 ， 可 以 根据 信息 系统 安全 目标 (Information Systems Security Target，1SST) 来 规范 地 制订 信息 安全 方案 。 
ISST 根 据 ISPP 编 制 ， 从 信息 系统 安全 保障 建设 方 (厂商 ) 的 角度 制定 信息 系统 安全 保障 方案 。 


根据 ISST 要 求 ， 信 息 系统 安全 方案 的 标准 格式 应 包括 如 下 8 个 部 分 : 引言 、 信 息 系统 描述 、 信 息 系统 安全 环境 、 安 全 保障 目 
的 、 安 全 保障 要 求 、 信 息 系 统 概要 规范 、1SPP 声 明 ， 以 及 符合 性 声明 。 其 中 ,3 引言、 信息 系 统 描述 、 信 息 系统 安全 环境 、 安 全 
保障 目的 、 安 全 保障 要 求 部 分 与 |SPP 一 致 。 


言 息 系 统 概要 规范 包括 信息 系统 安全 功能 满足 哪 一 个 特定 的 安全 功能 需求 ， 保 证 措施 满足 哪 一 个 特定 的 安全 保障 要 求 ， 以 及 
相应 的 解释 、 证 明 等 支持 材料 。 与 1SPP 类 似 ， 在 编制 这 部 分 内 容 时 ， 从 GB/T 20274《 信 息 系统 安全 保障 评估 框架 》 的 第 2 部 分 
选择 具体 技术 组 件 ， 第 3 部 分 选择 管理 组 件 ， 第 4 部 分 选择 工程 组 件 。 


实施 信息 安全 保障 方案 时 ， 要 以 方案 为 依据 ， 覆 盖 方 案 所 提出 的 建设 目标 和 建设 内 容 。 另 外 ， 在 实施 过 程 中 ， 应 规范 实施 过 
程 ， 有 效 控制 实施 质量 、 进 度 、 成 本 及 变更 ， 充 分 考虑 实施 风险 ， 如 资源 不 足 、 对 业务 正常 运行 造成 的 影响 、 信 息 泄露 或 破坏 


区 所 
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2.3.3 ”信息 安全 测评 


i 


言 息 安 全 测评 是 依据 相关 标准 ， 从 安全 技术 、 功 能 和 机 制 等 角度 对 信息 技术 产品 、 信 息 系统 、 服 务 提供 商 以 及 人 员 进 行 测试 
和 评估 。 

1. 信 息 技术 产品 安全 测评 

言 息 技术 产品 安全 测评 是 测评 机 构 对 产品 的 安全 性 做 出 的 独立 评价 ， 目 的 是 提供 产品 的 安全 性 证 据 ， 增 强 用 户 对 已 评估 产品 
安全 的 信任 ， 向 消费 者 提供 采购 依据 ， 推 动 信息 安全 技术 发 展 ， 提 高 信息 技术 安全 科研 和 生产 水 平 。 


测评 级 别 是 根据 国家 标准 GB/T 18336《 信 息 技术 安全 性 评估 准则 》， 通 过 对 信息 技术 产品 的 安全 性 进行 独立 评估 后 所 取得 
的 安全 保证 等 级 ， 表 明 产 品 的 安全 性 及 可 信 度 。 通 过 测评 的 级 别 越 高 ， 表 明 该 产品 的 安全 性 与 可 信和 度 越 高 ， 可 对 抗 更 高 级 别 的 安 
全 威胁 ， 适 用 于 更 高 风险 的 环境 。 


信息 产品 安全 的 测评 认证 由 低 到 | 高 划分 为 7 个 级 别 ， 即 CC 的 评估 保证 级 (Evaluation Assurance Level，EAL) 1 到 7 级 。 其 
中 ，EAL1 主 要 是 功能 测试 ， 通 过 该 级 别 测评 的 产品 主要 适用 领域 是 个 人 及 简单 商用 环境 ， 需 要 保护 的 信息 价值 较 低 ; EAL2 主 要 


是 结构 测试 ， 通 过 该 级 别 测评 的 产品 主要 适用 领域 包括 个 人 、 一 般 商 用 或 简单 政务 应 用 ， 所 需 保护 的 信息 价值 不 太 高 或 者 是 敏感 
但 不 保密 的 信息 ， 其 应 用 环境 的 安全 风险 较 低 ; EAL3 是 系统 地 测试 和 检查 ， 通 过 该 级 别 测评 的 产品 主要 适用 领域 包括 具有 适当 


安全 需求 的 一 般 政 务 应 用 、 特 定 商用 和 简单 军用 ， 其 应 用 环境 存在 中 度 安全 风险 ; EAL4 是 系统 地 设计 、 测 试 和 复查 ， 通 过 该 级 

别 测评 的 产品 主要 适用 领域 是 具有 较 高 安全 需求 的 特定 政务 应 用 、 关 键 商用 和 一 般 军 用 环境 ;'EAL5 是 半 形 式 化 设计 和 测试 ， 通 

过 该 级 别 测评 的 产品 主要 适用 领域 包括 安全 需求 很 高 的 关键 政府 部 门 、 核 心 商用 和 军事 环境 ，EAL6 是 半 形 式 化 验证 的 设计 和 测 

试 ， 通 过 该 级 别 测评 的 产品 主要 适用 领域 包括 具有 极 高 安全 需求 的 政府 要 害 部 门 、 要 害 商用 和 军事 环境 ; EAL7 是 形式 化 验证 的 

设计 和 测试 ， 通 过 该 级 别 测评 的 产品 主要 适用 领域 是 具有 最 高 安全 需求 的 核心 处 理 领 域 ， 包 括 政府 、 军 队 、 商 业 领 域 的 极 关 键 机 
构 和 场所 的 极 关键 信息 处 理 环 境 。 


2. 信 息 系 统 安全 测评 


目前 ,我 国 常见 的 信息 系统 安全 测评 包括 信息 系统 风险 评估 、 信 息 系统 等 级 保护 测评 ， 以 及 信息 系统 安全 保障 测评 。 


(1) 信息 系统 风险 评估 


言 息 系 统 风 险 评 估 是 从 风险 管理 的 角度 ， 运 用 科学 的 方法 和 手段 ， 全 面 分 析 网 络 与 信息 系统 所 面临 的 威胁 及 其 存在 的 脆弱 
性 ， 评 佑 安全 事件 一 旦 发 生 可 能 造成 的 危害 程度 ， 提 出 有 针对 性 地 抵御 威胁 的 防护 对 策 和 改进 措施 ， 并 为 防范 和 化 解 信息 安全 风 
险 ， 将 风险 控制 在 可 接受 的 水 平 ， 最 大 限度 地 保障 网 络 和 信息 安全 提供 科学 依据 。 


(2) 信息 系统 等 级 保护 测评 


言 息 系 统 等 级 保护 测评 是 对 信息 系统 安全 等 级 保护 状况 进行 测试 评估 ， 包 括 两 个 方面 的 内 容 : 一 是 单元 测评 ， 依 据 等 级 保护 
测评 相关 标准 对 GB/T 22239 所 要 求 的 基本 安全 控制 在 信息 系统 中 的 实施 配置 情况 进行 测评 ;二 是 整体 测评 ， 主 要 测评 信息 系统 
的 整体 安全 性 ， 是 在 单元 测评 的 基础 上 ， 对 信息 系统 开展 整体 测评 ， 可 以 进一步 分 析 信 息 系统 的 整体 安全 性 。 整 体 测评 主要 包括 
安全 控制 间 、 层 面 间 和 区 域 间 相 互 作用 的 安全 测评 以 及 系统 结构 的 安全 测评 等 。 


(3) 信息 系统 安全 保障 测评 


言 息 系 统 安 全 保障 测评 是 在 风险 评估 的 基础 上 ， 评 估 信 息 系统 生命 周期 中 采取 的 技术 类 、 管 理 类 、 访 
措施 ， 确 定 信息 系统 安全 保障 措施 对 系统 履行 其 职能 的 有 效 性 及 其 对 面临 安全 风险 的 可 承受 度 。 
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对 信息 系统 的 安全 保障 测评 ， 首 先 需要 根据 信息 系统 运行 环境 及 相关 的 1SPP 进 行 描述 ， 然 后 依据 需求 编制 满足 用 户 需 求 的 
言 息 系 统 安 全 保障 方案 ， 即 1SST。 评 估 者 依据 这 些 文件 对 信息 系统 安全 保障 方案 满足 ISPP 的 符合 情况 进行 评估 ， 在 此 基础 上 ， 
依据 国标 GB/T 20274《 信 息 系统 安全 保障 评估 框架 》 对 信息 系统 的 技术 、 管 理 和 工程 3 个 方面 的 能 力 成 熟 度 级 别 进行 评价 ， 最 
终 确定 信息 系统 安全 保障 能 力 级 别 。 


在 管理 方面 ， 依 据 《 信 息 系统 安全 保障 评估 框架 第 3 部 分 : 管理 保障 》， 安 全 管理 能 力 成 熟 度 级 (security Management 
Capability Maturity Level，MCML) 分 为 5 级 ， 由 低 到 高 分 别 为 MCML1、MCML2、MCML3、MCML4 和 MCML5。 其 
中 ，MCML1 表 明 组 织 机 构 内 部 能 够 依据 经 验 进行 部 分 的 安全 管理 工作 ，MCML2 表 明 组 织 机 构 能 够 建立 完善 的 管理 体系 来 规范 
安全 管理 能 力 ，MCML3 表 明 组 织 机 构 能 够 采取 有 效 措施 来 敦促 管理 体系 的 落实 和 实施 ，MCML4 表 明 组 织 机 构 所 制定 的 管理 体 
系 不 仅 能 够 有 效 实施 ， 而 且 还 能 够 对 实施 管理 措施 的 效果 进行 测试 ; MCML5 表 明 机 构 能 够 对 管理 体系 进行 持续 性 改进 。 


在 工程 方面 ， 依 据 《 信 息 系统 安全 保障 评估 框架 第 4 部 分 : 工程 保障 》， 安 全 工程 能 力 成 熟 度 级 (security Engineering 
Capability Maturity Level，ECML) 分 为 5 级 ， 由 低 到 高 分 别 为 ECML1、ECML2、ECML3、ECML4 和 ECML5。 


在 技术 架构 方面 ， 依 据 《 信 息 系 统 安全 保障 评估 框架 第 2 部 分 : 技术 保障 》， 安 全 技术 能 力 成 熟 度 级 (security Technique 
Capability Maturity Level，TCML) 分 成 5 级 ， 即 TCML1、TCML2、TCML3、TCML4 和 TCML5。 在 安全 产品 选用 上 可 以 参照 
国标 GB/T 18336《 信 息 技术 安全 性 评估 准则 》 的 要 求 ， 为 不 同安 全 等 级 的 信息 系统 选用 相应 安全 保证 级 的 产品 。 


3. 信 息 安 全 服务 资质 评估 


言 息 安 全 服务 资质 评估 是 对 信息 安全 服务 提供 者 的 资格 状况 、 技 术 实 力 和 实施 服务 过 程 质量 保证 能 力 的 具体 衡量 和 评价 。 资 
质 等 级 的 评定 是 在 其 基本 资格 和 能 力 水 平 、 组 织 管理 水 平 、 安 全 工程 基本 过 程 的 实施 和 控制 能 力 等 方面 的 单项 评估 结果 基础 上 ， 
针对 不 同 服务 种 类 ， 综 合 评价 后 确定 的 ， 并 由 国家 测评 机 构 授 予 相 应 的 资质 级 别 。 其 中 ， 基 本 资格 是 评定 安全 服务 机 构 的 起 评 条 
件 ， 如 独立 法 人 、 具 备 安全 服务 许可 资格 和 无 违法 行为 记录 等 。 基 本 能 力 要 求 是 评定 服务 机 构 资质 等 级 的 基础 ， 包 括 服务 机 构 的 
组 织 架构 和 管理 、 规 模 和 资产 、 质 量 保证 、 技 术 能 力 、 人 员 构 成 与 素质 、 设 备 设 施 与 环境 、 业 绩 和 培训 等 。 工 程 能 力 是 评定 安全 
服务 机 构 资 质 的 主要 依据 ， 标 志 着 服务 机 构 提供 给 客户 的 安全 服务 专业 水 平和 质量 保证 程度 。 


言 息 安 全 服务 资质 等 级 反映 了 安全 服务 机 构 的 综合 实力 ， 包 括 该 机 构 的 安全 服务 资格 、 水 平和 能 力 。 服 务 资质 等 级 分 为 5 
级 ， 由 1 级 到 5 级 递增 。1 级 是 基本 执行 级 ， 表 明 服 务 机 构 具 备 为 客户 提供 基本 信息 安全 服务 的 能 力 ; 2 级 是 计划 跟踪 级 ， 表 明 服 
务 机 构 能 够 为 提供 的 服务 制订 周密 的 计划 ， 并 按照 计划 规范 执行 ， 同 时 能 够 提供 证 据 确 认 过 程 按 预 定 的 方式 执行 ， 并 能 够 控制 项 
目 进展 ; 3 级 是 充分 定义 级 ， 服 务 机 构 定义 该 机 构 服务 过 程 ， 并 依据 项 目 特点 对 已 批准 发 布 的 标准 过 程 进行 适当 裁减 以 适应 特定 
项 目 ,与 第 2 级 相 比 ， 该 级 别 的 服务 机 构 能 够 利用 机 构 范围 内 的 标准 过 程 来 管理 和 规划 ， 同 时 能 够 通过 项 目 和 组 织 活动 的 协调 ， 
确保 大 型 安全 服务 项 目的 实施 质量 ; 第 4 级 是 定量 控制 级 ， 该 级 别 的 服务 机 构 管理 是 客观 的 、 工 作 产品 质量 是 量化 的 ， 能 够 收集 
和 分 析 执 行 过 程 的 详细 测量 ， 获 得 对 过 程 能 力 和 改进 能 力 的 量化 理解 以 预测 项 目 执行 情况 ; 第 5 级 是 连续 改进 级 ， 该 级 别 的 服务 
机 构 能 够 通过 执行 已 定义 的 过 程 和 有 创见 的 新 概念 、 新 技术 的 量化 反馈 ， 来 保证 对 这 些 目标 进行 可 持续 的 过 程 改进 。 


4. 信 息 安全 人 员 认 证 


信息 安全 保障 工作 的 核心 因素 是 人 。 国 家 、 社 会 和 各 单位 对 信息 安全 专业 人 员 的 需求 逐年 增加 ， 但 社会 需求 与 人 才 供 给 之 间 
还 存在 着 很 大 差距 ， 人 才 问 题 已 经 成 为 当前 严重 制约 信息 安全 保障 能 力 的 瓶颈 。 因 此 ， 开 展 信息 安全 专业 人 员 培 训 认 证 ， 为 政 
府 、 行 业 和 企业 输送 更 多 的 专业 化 技术 人 员 已 经 成 为 使 各 行业 提升 自身 信息 安全 保障 水 平 的 重要 基础 性 因素 。 


注册 信息 安全 专业 人 员 根 据 工作 领域 和 实际 工作 岗位 的 需要 ， 分 为 如 下 5 个 方向 。 


1) 注册 信息 安全 工程 师 (Certified Information Security Engineer，CISE) : 持 证 人 员 从 事 信 息 安全 技术 领域 的 工作 ， 
具有 从 事 信 息 系统 安全 集成 、 安 全 技术 测试 、 安 全 加 固 和 安全 运 维 的 基本 知识 和 能 力 。 


2) 注册 信息 安全 管理 人 员 (Certified Information Security Officer，CISO) : 持 证 人 员 从 事 信 息 安 全 管理 领域 的 工作 ， 
具有 组 织 信息 安全 风险 评估 、 信 息 安全 总 体 规划 编制 、 信 息 安全 策略 制度 制定 和 监督 落实 的 基本 知识 和 能 力 。 


3) 注册 信息 安全 开发 人 员 (Certified Information SecurityDeveloper，CISD) : 持 证 人 员 主 要 从 事 软件 开发 、 硬 件 设 
计 ， 在 全 面 掌握 信息 安全 基本 知识 技能 的 基础 上 ， 具 有 较 强 的 安全 开发 能 力 、 熟 练 掌握 应 用 安全 。 


4) 注册 信息 安全 审计 师 (Certified Information System Auditor，CISA) : 持 证 人 员 主 要 从 事 信息 安全 审计 工作 ， 在 全 
面 掌握 信息 安全 基本 知识 技能 的 基础 上 ， 具 有 较 强 的 信息 安全 审计 、 安 全 检查 实践 能 力 。 


5) 注册 信息 安全 专业 人 员 - 灾 难 恢复 工程 师 (Certified Information Security Professional-Distribution Resource 
Planning，CISP-DRP) : 持 证 人 员 主 要 从 事 信息 系统 灾难 恢复 工作 ， 在 全 面 掌握 信息 安全 基本 知识 技能 的 基础 上 ， 具 有 较 强 的 
言 息 系 统 灾难 恢复 建设 和 管理 的 实践 能 力 。 





CISP 的 知识 体系 结构 主要 涵盖 5 个 领域 : 信息 安全 保障 、 信 息 安全 技术 、 信 息 安 全 管理 、 信 息 安全 工程 和 信息 安全 标准 法 
规 ， 具体 结构 如 图 2-2 所 示 。 


注册 信息 安全 专业 人 员 (CISP) 知识 体系 结构 
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图 2-2 ”CISP 知 识 体系 结构 


2.3.4 ”信息 安全 监测 与 维护 


信息 安全 风险 是 动态 变化 的 ， 信 息 系 统 安 全 保障 需要 覆盖 信息 系统 的 整个 生命 周期 。 因 此 ， 必 须 持续 进行 风险 评估 ， 时 刻 监 
控 信 息 系统 安全 风险 的 变化 ， 这 是 信息 安全 保障 的 一 项 基础 性 工作 ， 变 化 的 风险 为 系统 提供 新 的 安全 需求 ， 也 是 安全 决策 的 重要 
依据 。 只 有 加 强 系统 内 部 风险 和 攻击 事件 的 监测 ， 形 成 持续 改进 的 信息 系统 安全 保障 能 力 ， 才 能 有 效 保障 系统 的 安全 。 以 风险 管 
理 为 基础 的 信息 安全 维护 工作 包括 安全 漏洞 和 隐患 的 消 控 ， 保 持 有 效 事件 管理 与 应 急 响 应 机 制 ， 实 现 强大 的 信息 系统 灾难 恢复 能 
力 。 


思考 
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1. 我 国信 息 安全 保障 工作 的 基本 思路 是 什么 ? 我 国信 息 安全 保障 工作 的 目标 有 哪些 ? 
2. 构 建国 家 信息 安全 保障 体系 主要 包括 哪些 方面 的 内 容 ? 


3. 如 何 获得 、 维 护 并 持续 提高 信息 安全 保障 能 力 ? 


第 3 章 ”信息 安全 管理 基础 


阅读 提示 ”信息 安全 管理 是 信息 安全 的 重要 保障 要 素 之 一 。 本 章 主 要 介绍 信息 安全 管理 的 基本 概念 、 方 法 和 实施 ， 使 读者 能 
够 理解 信息 安全 管理 的 作用 ; 理解 信息 安全 管理 的 关键 成 功 因 素 ; 理解 信息 安全 管理 的 基本 方法 主要 包括 风险 管理 和 过 程 方 法 ， 
管理 风险 的 具体 手段 主要 依靠 控制 措施 ; 能 够 结合 组 织 的 实际 情况 选择 适合 的 信息 
略 ， 从 而 逐步 开展 信息 安全 管理 工作 。 


息 安 全 管理 实施 方法 ， 制 定 并 落实 基本 的 管理 策 


3.1 ”信息 安全 管理 概述 


随 着 以 计算 机 和 网 络 通 信 为 代表 的 信息 技术 的 迅猛 发 展 ， 现 代 政 府 部 门 、 金 融 机 构 、 企 事业 单位 和 商业 组 织 对 信息 系统 的 依 
赖 日 益 加 重 ， 由 于 管理 不 善 、 操 作 失 误 等 原因 导致 的 信息 安全 事件 数量 不 断 攀 升 ， 没 有 适当 的 信息 安全 管理 ， 组 织 若 想 实 现 其 信 
息 安 全 目标 ， 几 乎 是 不 可 能 的 。 


若 要 开展 信息 安全 管理 工作 ， 必 须 理解 以 下 基本 概念 。 
管理 ， 是 管理 者 为 了 达到 特定 目的 而 对 管理 对 象 进行 计划 、 组 织 、 指 挥 、 协 调和 控制 的 一 系列 活动 。 


信息 安全 管理 (Information Security Management，ISM) ， 是 管理 者 为 实现 信息 安全 目标 (信息 资产 的 CIA 等 特性 ， 
以 及 业务 运作 的 持续 性 ) 而 进行 计划 、 组 织 、 指 挥 、 协 调和 控制 的 一 系列 活动 。 


言 息 安 全 管理 的 主要 对 象 是 组 织 的 信息 及 相关 资产 ， 包 括 信息 、 人 员 和 软件 等 ， 同 时 还 包括 信息 安全 目标 、 信 息 安全 组 织 架 
构 和 信息 安全 策略 规则 等 。 
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言 息 安 全 管理 要 求 识别 资产 并 进行 分 类 、 识 别 威胁 、 识 别 脆弱 性 ， 并 以 分 级 方式 实施 安全 控制 。 同 其 他 管理 问题 一 样 ， 信 息 
安全 管理 也 要 解决 组 织 、 制 度 和 人 员 这 3 方面 的 问题 ， 要 建立 信息 安全 管理 组 织 机 构 并 明确 责任 ,制定 健全 的 信息 安全 管理 制度 
体系 ， 加 强人 员 的 安全 意识 并 进行 安全 培训 和 教育 ， 这 样 才能 实现 包括 信息 安全 规划 、 风 险 管理 、 应 急 计划 、 意 识 培训 、 安 全 评 
估 和 安全 认证 等 多 方面 内 容 的 信息 安全 目标 。 由 于 信息 安全 的 攻击 和 防护 严重 不 对 称 ， 相 对 来 说 攻击 成 功 很 容易 ， 防 护 成 功 却 极 
为 困难 。 这 就 导致 信息 安全 水 平 的 高 低 遵循 木 桶 原理 : 一 个 组 织 的 信息 安全 水 平 有 多 高 ， 取 决 于 防护 最 薄弱 的 环节 。 因 此 ， 必 须 
以 建立 信息 安全 管理 体系 的 方式 对 安全 涉及 的 方方面面 实施 较为 均衡 的 管理 ， 避 免 遗 漏 某 些 方面 而 导致 组 织 的 整体 信息 安全 水 平 
过 低 。 


体系 是 相互 关联 和 作用 的 一 组 要 素 ， 例 如 ， 资 产 、 使 用 资产 的 人 、 人 制定 并 遵守 的 制度 等 要 素 既 相互 关联， 又 相互 影响 。 体 
系 有 很 多 种 ， 如 技术 体系 、 管 理 体 系 和 思想 体系 等 。 


管理 体系 是 为 达到 组 织 目 标的 策略 、 程 序 、 指 南 和 相关 资源 的 框架 。 管 理 体系 包括 质量 管理 体系 、 环 境 管 理 体系 和 信息 安全 


管理 体系 等 。 


信息 安全 管理 体系 ， 有 狭义 和 广义 之 分 。 狭 义 的 信息 安全 管理 体系 (Information Security Management 
Systems，ISMS) ， 指 按照 ISO 27001 标 准 定义 的 ISMS， 使 用 基于 业务 风险 的 方法 ， 建 立 、 实 施 并 保持 改进 的 信息 安全 体系 ， 
它 是 一 个 组 织 整 体 管理 体系 的 组 成 部 分 。 信 息 安全 管理 体系 ， 包 括 信息 安全 组 织 架 构 、 信 息 安 全 方针 、 信 息 安全 规划 活动 、 信 息 
安全 职责 ， 以 及 信息 安全 相关 的 实践 、 规 程 、 过 程 和 资源 等 要 素 ， 这 些 要 素 既 相互 关联 又 相互 作用 。 广 义 的 信息 安全 管理 体系 泛 
旨 任 何 一 种 有 关 信 息 安 全 的 管理 体系 。 


3.1.2 ”信息 安全 管理 作用 


首先 ， 信 息 安全 管理 是 组 织 整体 管理 的 重要 、 固 有 组 成 部 分 ， 它 是 组 织 实现 其 业务 目标 的 重要 保障 。 在 信息 时 代 ， 信 息 安 全 
问题 已 经 成 为 组 织 业 务 正常 运营 和 持续 发 展 的 最 大 威胁 ， 组 织 需 要 信息 安全 管理 ， 更 有 其 必然 性 。 一 些 信息 安全 问题 本 质 上 是 人 
的 问题 ， 单 赁 技术 无 法 实现 从 “最 大 威胁 ”到 “最 可 靠 防线 ”的 转变 ， 实 现 信息 安全 是 一 个 多 层面 、 多 因素 的 过 程 ， 也 取决 于 制 
定 信 息 安全 方针 策略 标准 规范 、 建 立 有 效 的 监督 审计 机 制 等 多 方面 非 技术 性 努力 ， 如 果 组 织 任 着 一 时 的 需要 ， 想 当然 地 制定 一 些 
技术 控制 措施 或 使 用 某 些 技术 产品 ， 难 免 存 在 顾此失彼 的 问题 ， 使 得 信息 安全 这 只 “ 木 桶 ”出 现 若 干 “ 短 板 ”， 信 息 安全 水 平实 
际 无 法 得 到 提升 。 理 解 并 重视 管理 对 于 信息 安全 的 关键 作用 ， 制 定 适宜 的 、 易 于 理解 、 方 便 操 作 的 安全 策略 对 实现 信息 安全 目 
标 、 进 而 实现 业务 目标 至 关 重 要 。 组 织 若 能 建立 一 个 管理 框架 ， 让 好 的 安全 策略 在 这 个 框架 内 实施 ， 并 不 断 得 到 修正 ， 才 可 能 大 
业务 的 正常 持续 运作 提供 可 靠 的 信息 安全 保障 。 





其 次 ,信息 安全 管理 是 信息 安全 技术 的 融合 剂 ， 保 障 各 项 技术 措施 能 够 发 挥 作用 。 解 决 信息 安全 问题 ， 成 败 通常 取决 于 两 个 
因素 ， 一 个 是 技术 ， 另 一 个 是 管理 。 安 全 技术 是 信息 安全 控制 的 重要 手段 ， 许 多 信息 系统 的 安全 性 保障 都 要 依靠 技术 手段 来 实 
现 ， 但 光 有 安全 技术 还 不 行 ， 要 让 安全 技术 发 挥 应 有 的 作用 ， 必 然 要 有 适当 的 管理 程序 ， 否 则 ， 安 全 技术 只 能 趋 于 僵化 和 失败 。 
如 果 说 安全 技术 是 信息 安全 的 构筑 材料 ， 信 息 安全 管理 就 是 黏合 剂 和 催化 剂 ， 良 好 的 管理 可 以 变 废 为 宝 ， 使 现 有 的 各 项 技术 相互 
配合 发 挥 应 有 的 作用 ， 而 糟糕 的 管理 会 使 技术 措施 变 得 毫 无 用 处 。 实 现 信息 安 全 ， 技 术 和 产品 是 基础 ， 管 理 才 是 关键 。 产 品 和 技 
术 ， 要 通过 管理 的 组 织 职能 才能 发 挥 最 佳作 用 ， 技 术 不 高 但 管理 良好 的 系统 远 比 技术 高 超 但 管理 混乱 的 系统 安全 。 只 有 将 有 效 的 
安全 管理 从 始 至 终 贯彻 落实 于 安全 建设 的 方方面面 ， 信 息 安全 的 长 期 性 和 稳定 性 才能 有 所 保证 。 因 此 ， 从 根本 上 说 ， 信 息 安全 是 
个 管理 过 程 ， 而 不 是 技术 过 程 。 我 们 常 说， 信息 安全 是 三 分 技术 七 分 管理 ， 可 见 管理 对 于 信息 安全 的 重要 性 。 


另外 ， 信 息 安 全 管理 能 预防 、 阻 止 或 减少 信息 安全 事件 的 发 生 。 早 期 人 们 对 于 信息 安全 的 认识 主要 侧重 在 技术 措施 的 开发 和 
利用 上 ， 这 种 技术 主导 论 的 思路 能 够 解决 信息 安全 的 一 部 分 问题 。 信 息 安全 问题 大 约 70% 以 上 是 由 管理 原因 造成 的 。 在 所 有 信息 
安全 事故 中 ， 只 有 20%~30% 是 由 于 黑客 入 侵 或 其 他 外 部 原因 造成 的 ，70%~80% 是 由 于 内 部 员工 的 玖 忽 或 有 意 泄露 造成 的 。 从 
这 些 统计 结果 来 看 ， 现 实 世界 里 大 多 数 安全 事件 的 发 生 和 安全 隐患 的 存在 ， 与 其 说 是 技术 原因 ， 不 如 说 是 管理 不 善 造成 的 。 因 
此 ， 防 止 发 生 信息 安全 事件 不 应 仅 从 技术 着 手 ， 更 应 加 强 信息 安全 管理 。 


i 


言 息 安 全 涉及 的 范畴 广 ， 它 不 是 产品 的 简单 堆积 ， 也 不 是 一 次 性 的 静态 过 程 ， 它 是 人 员 、 技 术 、 操 作 三 者 紧密 结合 的 系统 工 
程 ， 是 不 断 演 进 、 循 环 发 展 的 动态 过 程 。 因 此 ， 组 织 的 相关 人 员 要 正确 理解 信息 安全 管理 的 关键 作用 ， 以 便 更 好 地 开展 安全 管理 
工作 。 强 调 信息 安全 管理 ， 并 不 是 要 削弱 信息 安全 技术 的 作用 ， 开 展 信息 安全 管理 要 处 理 好 管理 和 技术 的 关系 ， 坚 持 管理 与 技术 
并 重 的 原则 ， 这 也 是 我 国 加 强 信息 安全 保障 工作 的 主要 原则 之 一 。 


如 今 ， 组 织 实施 信息 安全 管理 的 紧迫 性 越 来 越 强 ， 信 息 安全 的 关键 作用 得 到 进一步 凸显 。 组 织 实 施 信 息 安全 管理 是 生存 和 发 


组 织 建立 信息 安全 管理 体系 并 持续 运行 ， 比 起 简单 地 实施 信息 安全 管理 ， 有 更 大 的 作用 。 


对 内 而 言 ， 建 立信 息 安全 管理 体系 ， 可 以 使 组 织 按照 风险 管理 的 思想 建立 自我 持续 改进 和 发 展 的 信息 安全 管理 机 制 ， 使 信息 
安全 的 角色 和 职责 清晰 地 落实 到 人 ， 使 组 织 实现 动态 系统 的 、 制 度 化 的 、 以 预防 为 主 的 信息 安全 管理 方式 ， 持 续 满足 组 织 的 安全 
要 求 ， 提 高 组 织 的 安全 能 力 ， 用 最 低 的 成 本 ， 达 到 可 接受 的 信息 安全 水 平 ， 从 根本 上 保证 业务 的 连续 性 ; 建立 信息 安全 管理 体 
系 ， 还 可 以 使 组 织 形成 对 关键 信息 资产 的 全 面 系统 保护 能 力 以 及 知识 产权 保护 能 力 ， 维 持 和 提高 市 场 竞争 力 ; 在 组 织 的 信息 系统 
受到 侵害 时 ， 能 够 确保 组 织 的 业务 持续 开展 并 将 损失 降低 到 最 低 程 度 ; 能 够 为 组 织 建立 信息 系统 审计 /信息 安全 审计 框架 ， 实 施 

监督 检查 ; 能 够 为 组 织 建立 文档 化 的 信息 安全 管理 规范 ， 让 所 有 人 员 做 事 有 “法 ”可 依 ， 有 章 可 循 ， 有 据 可 查 ; 能 够 强化 员工 的 
息 安 全 意识 ， 建 立 良好 的 安全 作业 习惯 ， 形 成 具有 组 织 自 己 特点 的 信息 安全 企业 文化 。 





慰 


一 


已 
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对 外 而 言 ， 组 织 建立 信息 安全 管理 体系 ， 能 够 使 客户 、 业 务 伙伴 、 投 资 人 对 组 织 保障 其 业务 平台 和 数据 信息 的 安全 充满 信 
心 ， 使 组 织 的 业务 合作 及 运营 进入 良性 循环 ， 进 而 使 组 织 的 赢利 能 力 不 断 提升 ; 能够 帮助 界定 外 包 时 双方 的 信息 安全 责任 ,使 组 
织 在 自我 责任 实现 基础 上 向 委托 方 /承包 方 提 出 合理 要 求 和 建议 ; 可 以 使 组 织 更 好 地 满足 客户 或 其 他 组 织 的 审计 要 求 ; 可 以 使 组 
织 更 好 地 符合 法 律 法 规 的 要 求 。 若 组 织 的 信息 安全 管理 体系 通过 了 第 三 方 的 ISO 27001 认 证 ， 表 明 组 织 的 信息 安全 管理 体系 符合 
国际 标准 ， 证 明 组 织 有 能 力 保障 重要 资产 的 信息 安全 ， 能 够 提高 组 织 的 公信 和 度 ， 有 利于 组 织 进一步 拓展 国际 国内 业务 ; 组 织 可 以 
明确 要 求 其 他 供应 商 提高 相应 的 信息 安全 水 平 ， 保 证 数据 交换 中 的 信息 安全 。 


因此 ， 组 织 以 建立 信息 安全 管理 体系 的 方式 实施 信息 安全 管理 是 必要 的 ， 才 能 使 组 织 的 信息 安全 维持 在 一 定 水 平 之 上 。 


3.1.3 ”信息 安全 管理 关键 成 功 因素 


经 验 显 示 ， 组 织 成 功 实施 信息 安全 管理 的 关键 因素 通常 包括 以 下 内 容 。 


: 组 织 的 信息 安全 方针 和 活动 能 够 反映 组 织 的 业务 目标 。 如 果 组 织 制定 的 信息 安全 方针 、 目 标 和 活动 不 考虑 业务 目标 ， 只 是 
单纯 地 为 了 安全 而 安全 ， 那 就 会 造成 信息 安全 工作 和 组 织 业 务 的 脱节 ， 信 息 安 全 无 法 为 业务 运营 服务 ， 这 样 的 信息 安全 是 没有 意 
义 的 ， 甚 至 会 造成 巨大 的 浪费 ， 无 法 成 功 实施 。 


组 织 实 施 信 息 安 全 的 方法 和 框架 与 组 织 的 文化 相 一 致 。 获 得 员工 普遍 认同 的 组 织 文化 是 一 种 凝聚 力 。 若 组 织 实 施 信 息 安 全 


的 方法 和 框架 与 组 织 文化 不 相符 ， 必 定 不 会 获得 员工 的 理解 和 认同 ， 其 至 会 招致 员工 的 反对 。 


* 组 织 所 有 级 别 的 管理 者 能 够 给 予 信息 安全 实质 性 的 、 可 见 的 支持 和 承诺 。 信 息 安 全 问题 ， 首 先是 管理 者 的 问题 。 如 果 管理 
者 对 信息 安全 不 重视 、 不 支持 ， 普 通 员工 也 不 会 重视 ， 这 种 情况 不 利于 信息 安全 管理 的 实施 。 


“ 组 织 的 管理 者 对 信息 安全 需求 、 信 息 安 全 风险 、 风 险 评 估 及 风险 管理 有 正确 深入 的 理解 。 若 管理 者 不 理解 信息 安全 需求 与 
息 安 





信息 安全 风险 的 关系 ， 不 理解 控制 信息 风险 对 于 业务 安全 运营 的 意义 ， 不 理解 风险 管理 是 信息 安全 管理 的 基本 方法 ， 组 织 实 
施 的 信息 安全 管理 就 抓 不 住 主 要 矛盾 。 

.向 所 有 管理 者 、 员 工 和 其 他 相关 方 提供 有 效 的 信息 安全 宣传 以 提升 信息 安全 意识 。 一 切 行动 均 源 于 意识 ， 缺 乏 信 息 安 全 意 
识 ， 就 无 法 养 成 良好 的 安全 作业 习惯 ， 也 难以 理解 并 遵守 要 求 ， 容 易 寻 致 操作 失 全 违规 行为 ， 进 而 引发 安全 事件 。 

. 向 所 有 管理 者 、 员 工 和 其 他 相关 方 分 发 并 宣 贯 信息 安全 方针 、 策 略 和 标准 。 使 全 员 都 对 组 织 的 信息 安全 方针 、 策 略 和 标准 
的 要 求 有 深入 的 理解 ， 是 成 功 实施 信息 安全 管理 的 重要 基础 。 


管理 者 为 信息 安全 建设 提供 足够 的 资金 ， 这 是 信息 安全 管理 成 功 实施 的 必要 保障 。 


:向 全 员 提 供 适 当 的 信息 安全 培训 和 教育 。 每 个 岗位 的 员工 具有 其 岗位 需要 的 信息 安全 知识 和 技能 ， 也 是 成 功 实施 信息 安全 
管理 的 保障 之 一 。 
“ 建立 有 效 的 信息 安全 事件 管理 过 程 。 虽 然 组 织 已 经 部 署 了 各 种 预防 性 控制 措施 ， 避 免 发 生 信 息 安 全 事件 ， 但 不 可 能 避免 所 


有 安全 事件 。 若 有 一 次 严重 的 信息 安全 事件 处 理 不 好 ， 就 有 可 能 使 组 织 遗 受 严重 损失 而 倒闭 ， 所 以 事先 制定 事件 管理 程序 十 分 必 

















. 建立 有 效 的 信息 安全 测量 体系 。 信 息 安 全 是 可 度量 的 ， 组 织 建立 测量 体系 ， 可 以 度量 出 组 织 的 信息 安全 水 平 有 多 高 ， 与 设 
全 目标 差距 有 多 大 ， 据 此 可 以 发 现 不 足 ， 制 定 并 实施 改进 措施 ， 使 信息 安全 管理 进入 良性 循环 。 没 有 测量 体系 ， 就 无 
法 确定 信息 安全 管理 实施 的 效果 ， 无 法 确定 信息 安全 水 平 ， 信 息 安 全 管理 的 有 效 性 将 受到 影响 。 


3.2 ”信息 安全 管理 方法 与 实施 


组 织 必须 掌握 一 些 科 学 的 方法 ， 才 能 有 效 实施 信息 安全 管理 和 信息 安全 防护 ， 进 而 为 业务 的 安全 运营 提供 保障 。 





3.2.1 ”信息 安全 管理 方法 


目前 有 两 种 基本 方法 可 以 用 于 信息 安全 管理 ， 一 是 风险 管理 方法 ， 二 是 过 程 方法 。 这 两 种 基本 方法 广泛 应 用 于 组 织 信息 安全 
管理 的 各 个 阶段 。 这 两 种 基本 方法 可 以 同时 应 用 ， 且 均 可 贯穿 于 信息 安全 管理 全 生命 周期 。 


1. 风 险 管理 方法 
风险 管理 是 信息 安全 管理 的 基本 方法 ， 主 要 体现 在 以 下 两 个 方面 。 


风险 评估 是 信息 安全 管理 的 基础 。 信 息 安全 风险 评估 是 识别 、 分 析 和 评价 信息 安全 风险 的 活动 ， 主 要 是 鉴定 组 织 的 信息 及 相 
关 资 产 ， 评 估 信 息 资 产 面临 的 各 种 威胁 和 资产 自身 的 脆弱 性 ， 同 时 评判 已 有 的 安全 控制 措施 。 通 过 风险 评估 活动 ， 组 织 可 以 全 面 
了 解 其 面临 的 信息 安全 风险 ， 从 信息 安全 风险 导出 信息 安全 需求 。 组 织 实 施 信息 安全 管理 并 建立 信息 安全 管理 体系 ， 首 先 需要 确 
定 信息 安全 需求 。 获 取信 息 安全 需求 的 主要 手段 就 是 信息 安全 风险 评估 ， 没 有 风险 评估 ， 信 息 安全 管理 的 实施 和 管理 体系 的 建立 
就 没有 依据 。 因 此 ， 风 险 评估 是 信息 安全 管理 的 基础 。 


风险 处 理 是 信息 安全 管理 的 核心 。 风 险 处 理 是 对 风险 评估 活动 识别 出 的 风险 进行 决策 ， 采 取 适 当 的 控制 措施 处 理 不 能 接受 的 
风险 ， 将 风险 控制 在 可 按 受 的 范围 。 风 险 评 估 活 动 只 能 揭示 组 织 面临 的 风险 ， 不 能 改变 风险 状况 。 只 有 通过 风险 处 理 活动 ， 组 织 
的 信息 安全 能 力 才 会 提升 ， 信 息 安 全 需求 才能 被 满足 ， 才 能 实现 其 信息 安全 目标 。 因 此 ， 风 险 处 理 是 信息 安全 管理 的 核心 。 周 期 
性 的 风险 评估 与 风险 处 理 活动 即 形成 对 风险 的 动态 管理 。 动 态 的 风险 管理 是 维持 并 提高 信息 安全 水 平 的 根本 方法 。 


管理 风险 的 具体 手段 是 控制 措施 。 风 险 处 理 时 ， 需 要 选择 并 确定 适当 的 控制 目标 和 控制 措施 。 只 有 落实 适当 的 控制 措施 ， 那 
些 不 可 接受 的 高 风险 才能 降低 到 可 以 接受 的 水 平 之 内 。 因 此 ， 控 制 措施 是 管理 风险 的 具体 手段 和 方法 。 在 本 质 上 ， 风 险 处 理 的 最 
佳 集合 就 是 信息 安全 管理 (体系 ) 的 控制 措施 集合 。 各 项 风险 控制 目标 的 确定 ， 以 及 控制 措施 的 选择 确定 和 落实 的 过 程 ， 也 就 是 
言 息 安 全 管理 的 实施 过 程 和 管理 体系 的 建立 过 程 。 控 制 措施 有 多 种 类 别 ， 从 手段 来 看 ， 可 以 分 为 技术 性 、 管 理性 、 物 理性 和 法 律 
性 等 控制 措施 ， 从 功能 来 看 ， 可 以 分 为 预防 性 、 检 测 性 、 纠 正 性 和 威慑 性 等 控制 措施 ， 从 影响 范围 来 看 ， 控 制 措施 常 被 分 为 安全 
方针 、 信 息 安全 组 织 、 资 产 管理 、 人 力 资源 安全 、 物 理 和 环境 安全 、 通 信和 操作 管理 、 访 问 控制 、 信 息 系 统 获取 开发 和 维护 、 信 


息 安 全 事件 管理 、 业 务 连 续 性 管理 和 符合 性 11 个 类 别 。 
2. 过 程 方法 
(1) 过 程 及 过 程 方法 


过 程 方法 也 是 信息 安全 管理 的 基本 方法 。 组 织 内 各 过 程 的 系统 应 用 ， 连 同 这 些 过 程 的 识别 、 相 互 作用 及 管理 ， 统 称 为 “过 程 
方法 ”。 为 使 组 织 的 业务 有 效 运作 ， 需 要 识别 和 管理 众多 相互 关联 的 活动 。 通 过 使 用 资源 和 管理 ， 将 输入 转化 为 输出 的 活动 称 


为 “过 程 ”。 如 图 3-1 所 示 。 
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图 3-1 过程 方法 示意 图 


通常 ， 每 个 过 程 都 包含 若干 项 活动 ， 这 些 活动 的 完成 ， 需 要 依赖 特定 的 资源 。 活 动 进行 过 程 中 ， 应 生成 并 保存 相应 的 记录 。 
每 个 过 程 均 应 指定 责任 人 ， 负 责 管 理 过 程 依赖 的 资源 和 输出 的 质量 ， 组 织 相 应 人 员 测量 输出 质量 ， 分 析 可 改进 环节 ， 制 定 并 实施 
改进 措施 以 提高 过 程 输出 的 质量 。 


每 一 个 过 程 都 可 以 再 细 分 为 若干 个 子 过 程 。 每 个 子 过 程 又 由 相应 的 子 活动 构成 ， 依 赖 于 特定 的 资源 ， 如 图 3-2 所 示 。 只 有 过 
程 、 子 过 程 中 的 每 个 环节 都 受 控 ， 过 程 的 输出 才 有 保障 。 若 不 去 关注 、 控 制 过 程 中 的 每 一 个 环节 和 要 素 ， 期 望 过 程 能 有 高 质量 的 
输出 几乎 是 不 可 能 的 ， 只 有 改进 过 程 的 每 一 个 环节 和 要 素 ， 过 程 的 输出 质量 才 有 可 能 提高 。 
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图 3-2 ”过 程 的 分 解 





输出 


过 程 方法 要 求 组 织 系统 地 识别 和 管理 组 织 所 应 用 的 过 程 ， 特 别 是 这 些 过 程 之 间 的 相互 作用 ， 并 对 过 程 中 的 每 一 环节 与 要 素 进 
行 管理 和 控制 。 这 是 实施 信息 安全 管理 和 管理 体系 的 基本 方法 。 


(2) PDCA 循环 


PDCA 循环 是 基于 过 程 方法 制定 的 一 种 持续 改进 模型 ， 又 叫 戴 明 环 ， 由 美国 质量 管理 专家 戴 明 博士 首先 提出 ， 最 初 用 于 全 面 


质量 管理 。PDCA 是 英语 单词 Plan、Do、Check 和 Act 的 首 字 母 ，PDCA 循 环 是 按照 计划 、 执 行 、 检 查 、 改 进 的 顺序 进行 质量 管 


理 ， 并 且 循 环 进行 下 去 的 科学 程序 。 全 面 质量 管理 活动 的 运转 ， 离 不 开 管理 循环 的 转动 。 这 就 是 说 ， 改 进 与 解决 质量 问题 ， 提 高 
各 项 工作 水 平 ， 都 要 运用 PDCA 循环 的 科学 程序 。 不 论 提高 产品 质量 ， 还 是 减少 不 合格 品 ， 都 要 先 提出 目标 ， 即 质量 提高 到 什么 
程度 ， 不 合格 品 率 降低 多 少 ， 都 要 有 计划 ; 这 个 计划 不 仅 包 括 目标 ， 而 且 也 包括 实现 这 个 目标 需要 采取 的 措施 ; 计划 制订 之 后 ， 


就 要 按照 计划 去 做 ， 做 完 以 后 进行 检查 ， 看 是 否 实现 了 预期 效果 ， 有 没有 达到 预期 的 目标 ;通过 检查 找 出 问题 和 原因 ; 最 后 就 要 


进行 改进 处 理 ， 以 解决 问题 ， 提 高 质量 。 


PDCA 模型 已 经 成 为 管理 学 中 通用 的 过 程 改 进 模型 ， 该 模型 在 应 用 时 ， 按 照 P-D-C-A 的 顺序 依次 进行 ， 一 次 完整 的 P-D-C-A 
可 以 看 成 组 织 在 管理 上 的 一 个 周期 ， 每 经 过 一 次 P-D-C-A 循 环 ， 组 织 的 管理 体系 都 会 得 到 一 定 程度 的 完善 ， 同 时 进入 下 一 个 更 
高 层次 的 管理 周期 ， 通 过 连续 不 断 的 P-D-C-A 循 环 ， 组 织 的 管理 体系 得 到 持续 的 改进 ， 管 理 水 平 将 随 之 不 断 提升 。PDCA 循 环 的 
四 个 阶段 是 一 套 科学 的 工作 程序 ， 体 现 了 科学 认识 论 的 一 种 具体 管理 手段 。PDCA 循 环 有 以 下 3 个 特点 。 


` 按 顺序 进行 。PDCA 循 环 靠 组 织 的 力量 来 推动 ， 按 顺序 完成 每 一 阶段 的 工作 ， 像 车 轮 一 样 向 前 进 ， 周 而 复 始 ， 不 断 循 环 。 


: 组 织 中 的 每 个 部 分 ， 甚 至 个 人 ， 均 可 以 PDCA 循环 ， 大 环 套 小 环 ， 一 层 一 层 地 解决 问题 。 也 就 是 说 ， 质 量 管理 可 以 分 为 若 
干 级 ， 各 级 质量 管理 都 有 一 个 PDCA 循环 ， 形 成 一 个 大 环 套 小 环 ， 一 环 扣 一 环 ， 互 相 制约 、 互 为 补充 的 有 机 整体 。 在 PDCA 循环 
中 ， 一 般 来 说 ， 上 一 级 的 循环 是 下 一 级 循环 的 依据 ， 下 一 级 的 循环 是 上 一 级 循环 的 落实 和 具体 化 。 


. 每 通过 一 次 PDCA 循环 ， 都 要 进行 总 结 ， 提 出 新 目标 ， 再 进行 第 二 次 PDCA 循环 。 也 就 是 说 ， 每 一 次 PDCA 循环 ， 都 不 是 在 
而 复 始 运转 ， 而 是 像 爬 楼 梯 那 样 ， 每 一 次 循环 都 有 新 的 目标 和 内 容 ， 每 经 过 一 次 循环 ， 都 会 解决 一 批 问题 ， 质 量 水 平 有 新 


3.2.2 ”信息 安全 管理 实施 


以 体系 化 的 方式 实施 信息 安全 管理 ， 才 能 实现 并 保持 一 定 的 信息 安全 水 平 。 常 见 的 信息 安全 的 管理 体系 有 3 种 : 1SO 27001 
定义 的 信息 安全 管理 体系 、 信 息 安全 等 级 保护 和 NIST SP800 规 范 。 


1. 信 息 安 全 管理 体系 


信息 安全 管理 体系 (ISMS) 是 一 种 常见 的 对 组 织 信 息 安全 进行 全 面 、 系 统管 理 的 方法 。ISMS 是 由 ISO 27001 定 义 的 一 种 有 
关 信 息 安全 的 管理 体系 ， 它 是 一 种 典型 的 基于 风险 管理 和 过 程 方法 的 管理 体系 ， 能 够 对 组 织 的 信息 安全 进行 有 效 管理 。ISMS 本 
身 就 是 一 个 PDCA 循环 体 ， 基 于 业务 风险 ， 并 通过 建立 、 实 施 、 监 视 和 改进 信息 安全 过 程 ， 来 管理 组 织 的 信息 安全 的 。 图 3-3 说 
明了 ISMSs 如 何 把 相关 方 的 信息 安全 需求 和 期 望 作 为 输入 ， 并 通过 必要 的 行动 和 过 程 ， 生 成 满足 这 些 需求 和 期 望 的 信息 安全 结 
果 ， 得 到 预期 的 输出 。 此 图 亦 描述 了 ISMS 的 建立 、 实 施 和 运作 、 监 视 和 评审 、 保 持 和 改进 这 些 过 程 之 间 的 联系 。 


ISMS 包 括 信息 安全 组 织 架构 、 方 针 策 略 、 规 划 活 动 、 职 责 、 实 践 、 程 序 、 过 程 和 资源 等 一 系列 既 相 互 天 联 又 相互 作用 的 要 
素 。ISMS 已 经 跳出 了 传统 的 “为 了 信息 安全 而 信息 安全 ”的 理解 ， 它 强调 的 是 基于 业务 风险 方法 来 组 织 信息 安全 活动 ， 其 本 身 
是 组 织 整体 管理 体系 的 一 部 分 。 这 就 要 求 组 织 站 在 全 局 的 观点 来 看 待 信息 安全 问题 。 


ISMS 的 概念 最 初 来 源 于 ISO/IEC 27001 的 前 身 ， 英 国 的 BS7799-2 标 准 ， 该 标准 于 2005 年 演变 为 国际 标准 。 组 织 要 通过 确定 
范围 ， 制 定 信息 安全 方针 ， 明 确 管理 职责 ， 以 风险 评估 为 基础 选择 控制 目标 和 措施 等 一 系列 活动 来 建 六 SMS。 体 系 的 建立 基于 
系统 、 全 面 、 科 学 的 信息 安全 风险 评估 ， 体 现 以 预防 控制 为 主 的 思想 ， 强 调 遵守 国家 有 关 信 息 安 全 的 法 律 、 法 规 及 其 他 合同 方面 
的 要 求 。 此 外 ，ISMS 还 强调 全 过 程 和 动态 控制 ， 本 着 控制 费用 与 风险 平衡 的 原则 合理 选择 安全 控制 方式 ; 强调 保护 组 织 所 拥有 
的 关键 性 信息 资产 ， 而 不 是 全 部 信息 资产 ,确保 信息 的 保密 性 、 完 整 性 和 可 用 性 ,保持 组 织 的 竞争 优势 和 业务 持续 性 。 
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图 3-3 ”信息 安全 管理 体系 是 基于 过 程 方法 的 PDCA 循环 体 


风险 管理 和 过 程 方法 是 ISMS 使 用 的 基本 方法 ， 周 期 性 的 风险 评估 、 内 部 审核 、 有 效 性 测量 、 管 理 评审 ， 是 ISMS 规 定 的 4 个 


必要 活动 ， 能 确保 ISMS 进 入 良性 循环 、 持 续 自我 改进 。 


为 了 达到 理想 的 信息 安全 管理 效果 ， 实 施 ISMS 应 依据 ISO 27000 标 准 族 中 的 要 求 和 指南 。 此 标准 族 由 ISO/IEC 
中 C1/SC27/WG1 (国际 标准 化 组 织 / 国 际 电工 委员 会 信息 技术 委员 会 /安全 技术 分 委员 会 /第 一 工作 组 ) 制定 和 修订 ， 已 经 发 布 
了 50 余 部 ISMS 相 关 标 准 ， 并 且 日 趋 完 善 。 标 准 族 中 最 重要 的 两 部 标准 ISO 27001 和 1SO 27002 于 2013 年 10 月 1 日 发 布 了 新 的 版 
本 。 


2. 信 息 安 全 等 级 保护 


信息 安全 等 级 保护 也 是 一 种 常见 的 对 组 织 的 信息 安全 进行 全 面 、 系 统管 理 的 实施 方法 。 信 息 安 全 等 级 保护 由 公安 部 会 同 其 他 
相关 部 委 ， 依 据 《计算 机 信息 系统 安全 保护 条 例 》 对 信息 安全 进行 全 面 管理 的 一 套 机 制 。 信 息 安 全 等 级 保护 将 信息 系统 (包括 网 
络 ) 按照 重要 性 和 受 破 坏 危 害 程度 分 成 5 个 安全 保护 等 级 ， 不 同 保护 等 级 的 系统 分 别 给 予 不 同 级 别 的 保护 。 信 息 系统 定 级 后 ， 第 
2 级 以 上 系统 须 到 公安 机 关 备 案 ， 公 安 机 关 审 核 合格 后 颁发 备案 证 明 ， 组 织 根据 其 系统 保护 等 级 按照 国家 标准 进行 安全 建设 整 
改 ， 然 后 聘请 测评 机 构 进行 等 级 测评 ， 公 安 机 关 对 系统 保护 情况 定期 开展 监督 、 检 查 和 指导 


定 级 、 安 全 建设 /整改 、 定 期 自 查 、 等 级 测评 、 备 案 和 监督 检查 是 信息 
别 的 信息 安全 能 


安全 等 级 保护 的 6 个 规定 活动 ， 确 保 达 到 并 维护 一 定 级 


3.NIST SP 800 安 全 管理 


NIST SP 800 是 由 NISI 发 布 的 一 系列 特别 出 版 物 (Special Publications，SP) ， 它 是 关于 计算 机 安全 的 文档 ， 其 目的 是 独 
立 发 布 与 信息 技术 安全 相关 的 出 版 物 ， 报 告 NIST 信 息 技术 实验 室 在 计算 机 安全 方面 的 研究 、 指 南 和 成 果 ， 以 及 与 行业 、 政 府 和 
学 术 组 织 的 协作 活动 。 


2002 年 美国 颁布 《联邦 信息 安全 管理 法 案 》 (Federal Information Security Management Act，FISMA) ， 该 法 案 试 图 
通过 采取 适当 的 安全 控制 措施 来 保证 联邦 机 构 的 信息 系统 安全 性 。 为 此 ，FISMA 专 门 指定 NIST 负 责 开 展 信息 安全 标准 、 指 导 
针 的 制定 。 自 2003 年 以 来 ，NIST 根 据 FISMA 的 要 求 ， 将 其 实施 步骤 分 为 开发 标准 和 指南 (2003 一 2008) 、 形 成 安全 能 

(2007 一 2010) 和 运用 自动 化 工具 (2008 一 2009) 3 个 阶段 。 第 1 阶段 的 任务 已 经 基本 完成 ， 形 成 了 一 套 全 面 权 威 的 信息 安全 
保障 体系 和 标准 体系 ; 第 2 阶段 中 的 “为 形成 安全 能 力 而 组 织 的 认证 计划 ” ， 主 要 任务 是 依据 标准 形成 能 力 ， 提 供 服务 并 进行 评 
估 ， 给 出 能 力 凭 据 。NIST 提 出 了 3 种 能 力 凭据 : 基于 客户 的 凭据 、 来 自 公 众 领 域 和 私人 领域 的 凭据 以 及 来 自 政府 的 凭据 ; 第 3 阶 
段 中 的 “为 运用 自动 化 工具 而 制定 的 安全 工具 验证 计划 ”，NIST 原 定 2008~2009 年 开展 第 3 阶段 工作 ， 着 重 解 决 安全 工具 的 验 
证 认可 。NIST 根 据 实际 进展 情况 ， 已 将 第 3 阶段 纳入 第 2 阶段 ， 使 用 现 有 的 IT 产品 测试 、 评 价 和 审定 程序 。 


目前 版 本 的 SP 800 一 37 对 风险 管理 框架 进行 了 改进 ， 整 个 工作 由 原来 的 8 个 步骤 改 为 如 图 3-4 所 示 的 6 个 步骤 。 
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图 3-4 NIST 最 近 对 信息 安全 风险 管理 框架 的 改进 


NIST 将 上 述 标准 体系 称 为 认证 认可 的 风险 管理 框架 ， 该 框架 建立 了 实时 的 风险 管理 概念 ， 通 过 实施 强 有 力 的 连续 监测 过 程 
推动 信息 系统 授权 ， 鼓 励 使 用 自动 化 操作 向 高 级 领导 层 提供 必 要 的 信息 ， 产 生成 本 效益 。 该 框架 将 信息 安全 结合 到 业务 安全 体系 
结构 和 系统 开发 的 生命 周期 之 中 ， 强 调 安全 控制 的 选择 、 实 施 、 评 估 、 监 测 和 信息 系统 的 授权 ， 在 信息 系统 风险 管理 过 程 中 ,组 
织 负 有 风险 管理 的 责任 ， 为 组 织 信息 系统 安全 控制 的 部 署 建立 责任 制 和 问 责 制 ， 并 使 这 些 制度 得 到 传承 。 


在 NIST 发 布 的 SP 800 一 37 中 ， 给 出 了 如 图 3-5 所 示 的 递 升 风险 管理 方法 。 一 个 组 织 要 以 战略 和 战术 两 个 方面 来 进行 风险 管 
理 。 一 个 组 织 关注 的 信息 安全 问题 分 为 3 个 层次 。 第 1 个 层次 是 组 织 ， 要 通过 安全 治理 来 解决 信息 安全 问题 ; 第 2 个 层次 是 使 命 和 
业务 过 程 ， 体 现在 信息 和 信息 流 ; 第 3 个 层次 是 信息 系统 ， 体 现 为 信息 的 运行 环境 。 如 图 中 箭头 所 示 ， 越 向 上 (阶梯 1) 越 体现 
为 战略 风险 ， 越 向 下 (阶梯 3) 越 体现 为 战术 风险 。 


FISMA 规 定 ， 联 邦 信息 处 理 标准 (Federation Information Processing Standards，FIPS) 对 联邦 机 构 具 有 强制 约束 力 。 
出 版 物 作为 建议 和 指南 文本 由 NIST 发 行 ， 除 国家 安全 计划 和 系统 外 ， 其 他 联邦 各 机 构 必 须 遵循 FIPS 中 要 求 的 NIST SP。 在 NIST 
的 标准 系列 文件 中 ,虽然 NIST SP 并 不 作为 正式 法 定 标准 ,但 在 实际 工作 中 ， 已 经 成 为 美国 和 国际 安全 界 认可 的 事实 标准 和 权威 
指南 。NIST SP 800 系 列 成 为 了 指导 美国 信息 安全 管理 建设 的 主要 标准 和 参考 资料 。 目 前 ，NIST SP 800 系 列 已 经 出 版 了 近 150 
多 部 正式 文档 ， 形 成 了 计划 、 风 险 管理 、 安 全 意识 培训 和 教育 ， 以 及 安全 控制 措施 的 一 整套 信息 安全 管理 体系 。 


战略 风险 







口 多 层 全 组 织 的 风险 管理 
口 由 风险 执行 官 ( 职 务 ) 实施 
与 业务 体系 结构 和 信息 安全 
体系 结构 紧 烛 合 
口 系统 开发 生命 周期 的 关注 
O 遵守 纪律 和 安排 的 过 程 
口 灵活 机 人 敏 的 执行 





阶梯 2 
使 命 /业务 过 程 
(信息 和 信息 流 ) 


阶梯 3 














信息 系统 
(运行 环境 ) 成 术 风 险 








图 3-5 ” 递 升 的 风险 管理 方法 


4. 三 者 的 区 别 与 联系 


上 述 三 种 信息 安全 管理 实施 方法 的 区 别 和 联系 如 表 3-1 所 示 。 


表 3-1 三 种 典型 信息 安全 管理 实施 方法 的 区 别 和 联系 


应 用 对 象 应 用 特点 


各 种 类 型 的 组 织 
(有 体系 建立 需求 ) 


完全 以 市 场 化 需求 为 主 ， 不 具备 强制 性 。 基 于 自身 安全 需求 、 客 户 要 求 
以 及 其 他 目的 的 组 织 ， 可 依据 27000 相关 标准 建设 ISMS。 如 果实 施 体系 
认证 ， 必 须 完全 满足 27001 标准 要 求 

作为 我 国 的 一 项 基础 制度 加 以 推行 ， 主 要 目标 是 有 效 地 提高 我 国信 息 和 
信息 系统 安全 建设 的 整体 水 平 ， 重点 保障 基础 信息 网 络 和 关系 国家 安全 、 
经 济 命脉 、 社 会 稳定 等 方面 的 重要 信息 系统 的 安全 

与 FIPS 不 同 ， 是 非 强 制 性 的 。 但 联邦 机 构 采 纳 FIPS 中 要 求 使 用 的 
NIST SP 以 及 OMB 要 求 的 特定 NIST SP。 应 用 时 有 一 定 的 灵活 性 ， 可 根 
据 自 身 特点 加 以 运用 


ISMS 


i 国家 基础 网 络 和 

车 级 保护 Rs 

重要 信息 系统 
联邦 机 构 或 非 政 


NISTSP800 | 、 
府 组 织 





从 应 用 的 范围 来 看 ，ISMS 是 基于 1SO 推 出 的 标准 ， 广 泛 应 用 于 全 球 各 个 国家 ; 等 级 保护 由 我 国 公安 部 提出 ， 主 要 应 用 于 国 
家 基础 网 络 和 重要 信息 系统 ; 而 NIST SP 800 则 由 美国 标准 与 技术 研究 院 提出 ， 主 要 应 用 于 美国 联邦 政府 及 其 他 组 织 。ISMS、 
等 级 保护 和 NIST SP 800 安 全 管理 都 是 保障 信息 安全 的 方法 ， 既 相对 独立 ， 又 相互 联系 ， 可 以 联合 实施 ， 也 可 选择 其 一 。 


ISMS 和 NIST SP 800 安 全 管理 均 是 以 风险 管理 方法 为 基础 ， 均 需要 风险 评估 和 风险 处 理 过 程 。 在 我 国 ，ISMS 和 NIST SP 
800 并 不 是 强制 性 的 ， 而 信息 安全 等 级 保护 属于 我 国 国家 基本 制度 ， 具 有 一 定 的 强制 性 。 


思考 


陪 


1. 实 施 信息 安全 管理 为 什么 必须 以 建立 “体系 ”的 方式 才 可 能 收 到 理想 的 效果 ? 


2. 具 备 哪些 因素 才 有 可 能 使 组 织 的 信息 安全 管理 成 功 实施 ? 
3 进行 信息 安全 管理 有 哪些 基本 方法 》 这 些 方法 有 什么 作用 ? 


4. 系 统 地 实施 信息 安全 管理 的 常见 方法 有 哪些 ? 它们 之 间 有 何 相似 之 处 和 不 同 之 处 ? 


第 4 章 ”信息 安全 风险 管理 


阅读 提示 “风险 管理 是 信息 安全 管理 的 基本 方法 。 本 章 主要 介绍 信息 安全 风险 管理 的 主要 内 容 ， 以 及 系统 生命 周期 中 的 风险 
管理 活动 ， 使 读者 掌握 风险 管理 各 阶段 的 主要 活动 和 典型 风险 计算 方法 ， 在 理解 组 织 业 务 的 基础 上 实施 风险 评估 ， 全 面 揭示 组 织 
面临 的 风险 ， 并 通过 风险 处 理 等 活动 将 风险 控制 在 可 接受 范围 内 ， 实 现 既 定 的 信息 安全 目标 。 


4.1 信息 安全 风险 管理 基础 


任何 类 型 和 规模 的 组 织 都 会 受到 一 些 内 部 和 外 部 因素 的 影响 ， 这 给 组 织 是 否 能 实现 ， 以 及 何 时 能 实现 组 织 的 目标 带 来 不 确定 
性 。 这 种 对 组 织 目标 不 确定 性 的 影响 就 是 风险 。 一 个 组 织 要 利用 其 拥有 的 资产 来 完成 使 命 ， 实 现 发 展 目标 。 由 于 组 织 的 业务 运 曹 
越 来 越 依 赖 于 信息 资产 ， 信 息 安全 相关 风险 在 组 织 整体 风险 中 所 占 的 比例 越 来 越 高 。 信 息 安全 风险 管理 的 目的 就 是 要 缓解 和 平衡 
这 一 矛盾 ， 将 风险 控制 到 可 接受 的 程度 ， 保 护 信 息 及 其 相关 资产 ， 最 终 保障 组 织 能 够 完成 使 命 。 信 息 安全 保障 本 质 上 是 信息 安全 
风险 管理 的 工作 。 


4.1.1 风险 相关 基本 概念 


影响 风险 的 因素 有 很 多 ， 正 确 理解 风险 相关 因素 及 它们 之 间 的 关系 ， 是 实施 信息 安全 风险 管理 的 前 提 。 
1. 风 险 的 定义 


风险 ， 是 事态 的 概率 及 其 结果 的 组 合 ， 是 不 确定 性 对 目标 的 影响 。 不 确定 性 ， 是 对 一 个 事态 及 其 后 果 (或 可 能 性 ) 的 理解 或 
知识 的 相关 信息 获取 不 足 的 状态 (即使 是 部 分 不 足 ) 。 目 标 ， 可 能 有 很 多 不 同 的 方面 ， 如 财务 目标 、 健 康 和 人 身 安 全 目标 、 信 息 
安全 目标 和 环境 目标 等 ， 也 可 能 有 不 同 的 级 别 ， 如 战略 目标 、 组 织 目 标 、 项 目 目标 、 产 品目 标 和 过 程 目标 等 。 风 险 经 常 通过 引用 
潜在 事态 和 后 果 或 两 者 的 组 合 来 描述 。 风 险 带 来 的 影响 通常 都 是 负面 的 。 风 险 和 不 确定 性 紧密 相连 ， 但 又 不 能 完全 等 同 。 风 险 强 
调 的 是 损害 的 潜在 可 能 性 ， 而 不 是 事实 上 的 损害 ， 风 险 是 不 能 消除 殉 尽 的 。 


衡量 风险 的 两 个 基本 要 素 是 事件 发 生 的 概率 和 产生 的 后 果 。 风 险 的 构成 包括 5 个 方面 : 起 源 、 方 式 、 途 径 、 受 体 和 后 果 。 
: 起 源 是 威胁 的 发 起 方 ， 即 威胁 源 。 


` 方式 是 威胁 源 实施 威胁 所 采取 的 手段 ， 即 威胁 行为 。 


. 途径 是 威胁 源 实 施 威胁 所 利用 的 薄弱 环节 ， 即 脆弱 性 或 漏洞 。 
受 体 是 威胁 的 承受 方 ， 即 资产 。 
. 后 果 是 威胁 源 实施 威胁 所 造成 的 损失 ， 即 影响 。 


它们 之 间 的 相互 关系 可 表述 为 ， 风 险 的 一 个 或 多 个 起 源 (威胁 源 ) ， 采 用 一 种 或 多 种 方式 (威胁 行为 ) ， 通 过 一 种 或 多 种 途 
径 (脆弱 性 或 漏洞 ) ， 侵 害 一 个 或 多 个 受 体 (资产 ) ， 造 成 不 良 后 果 (影响 ) 。 图 4-1 描 绘 了 风险 的 概念 模型 ， 威 胁 源 利 用 脆弱 
性 ， 对 资产 实施 威胁 行为 ， 造 成 负面 影响 。 其 中 的 虚线 表示 威胁 行为 和 影响 是 潜在 的 ， 虽 处 于 未 发 生 状 态 ， 但 具有 发 生 的 可 能 
性 。 





[威胁 行为 人 


[ 威胁 源 上 ---------- ~ es 资产 


NS。 坟 J 


脆弱 性 -一 载体 








环境 





图 4-1 风险 的 概念 模型 


信息 安全 风险 是 人 为 或 自然 的 威胁 ， 利 用 信息 系统 及 其 管理 体系 中 存在 的 脆弱 性 ， 可 能 导致 安全 事件 发 生 并 对 组 织造 成 影 
响 。 信 息 安全 风险 会 破坏 组 织 信息 资产 的 保密 性 、 完 整 性 或 可 用 性 等 属性 。 


2. 风 险要 素 关系 模型 


风险 的 大 小 ， 与 资产 、 威 胁 、 脆 弱 性 这 3 个 引起 风险 的 最 基本 要 素 有 关 。 一 个 组 织 业务 战略 的 实现 依赖 于 组 织 的 资产 ， 依 赖 
程度 越 高 ， 允 许 组 织 承担 的 风险 越 小 。 资 产 本 身 具 有 价值 ， 这 是 导致 风险 存在 的 最 根本 原因 。 威 胁 是 引发 风险 的 外 在 因素 ， 资 产 
面临 的 威胁 越 多 则 风险 越 大 ， 并 可 能 演变 成 为 安全 事件 。 资 产 具 有 脆弱 性 ， 资 产 的 脆弱 性 可 能 暴露 资产 ， 资 产 具 有 的 脆弱 性 越 多 
则 风险 越 大 。 脆 弱 性 是 未 被 满足 的 安全 需求 ， 威 胁 利用 脆弱 性 危害 资产 。 风 险 的 存在 及 对 风险 的 认识 导出 安全 需求 ， 安 全 措施 可 
以 满足 安全 需求 ， 需 要 结合 资产 价值 考虑 实施 成 本 。 安 全 措施 可 抵御 威胁 ， 降 低 风 险 。 残 余 风 险 有 些 是 需要 改进 不 当 或 无 效 的 安 
全 措施 才能 控制 的 风险 ， 而 有 些 则 是 在 综合 考虑 了 安全 成 本 与 效益 后 不 去 控制 的 风险 ， 残 余 风 险 应 受到 密切 监视 ， 它 会 随 着 时 间 
的 推移 而 发 生变 化 ， 可 能 会 在 将 来 诱发 新 的 安全 事件 。 风 险 各 相关 要 素 之 间 相 互 影响 ， 其 影响 关系 如 图 4-2 所 示 。 
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图 4-2 ”风险 要 素 关 系 图 


下 面 是 相关 要 素 的 定义 。 


. 资产 是 对 组 织 具有 价值 的 信息 或 资源 ， 它 既是 安全 策略 保护 的 对 象 ， 又 是 威胁 侵害 的 对 象 。 资 产 有 很 多 类 别 ， 其 中 ， 信 息 
已 经 成 为 组 织 最 核心 的 一 类 资产 ， 如 企业 运营 数据 、 客 户 资料 等 。 





` 威胁 是 可 能 对 系统 或 组 织 产生 危害 事件 的 潜在 起 因 。 

. 脆弱 性 是 可 能 被 威胁 所 利用 的 资产 或 若干 资产 的 薄弱 环节 。 

` 业务 战略 是 组 织 为 实现 其 发 展 目标 而 制定 的 一 组 规则 或 要 求 。 

* 资产 价值 是 资产 重要 程度 或 敏感 程度 的 表征 。 

安全 需求 是 为 保证 组 织 业务 战略 的 正常 运作 而 在 安全 措施 方面 提出 的 要 求 。 


* 安全 事件 是 系统 、 服 务 或 网 络 的 一 种 可 识别 状态 的 发 生 ， 它 可 能 是 对 信息 安全 策略 的 违反 或 防护 措施 的 失效 ， 或 未 预知 的 





不 安全 状况 。 

“ 风险 准则 是 风险 被 评估 为 何 种 重要 性 的 参照 条 款 。 

- 风险 评估 是 风险 识别 、 风 险 分 析 和 风险 评价 的 全 过 程 。 其 中 ， 风 险 评价 ， 是 将 风险 分 析 得 出 的 结果 与 风险 准则 比 对 ， 以 决 
定 风 险 和 /或 量 级 是 否 是 可 接受 或 可 忍受 。 

“ 信息 安全 风险 评估 是 依据 有 关 信 息 安全 技术 与 管理 标准 ， 对 信息 系统 及 由 其 处 理 、 传 输 和 存储 的 信息 的 保密 性 、 完 整 性 和 
可 用 性 等 安全 行 评价 的 过 程 。 


“ 风险 处 理 是 选择 并 且 执 行 措施 来 更 改 风险 的 过 程 。 





. 安全 措施 (控制 措施 ) 是 保护 资产 、 抵 御 威 胁 、 减 少 脆 弱 性 、 降 低 安 全 事件 的 影响 ， 以 及 打击 信息 犯罪 而 实施 的 各 种 实 
践 、 规 程 和 机 制 ， 它 是 管理 风险 的 具体 手段 和 方法 。 


` 风险 管理 是 识别 、 控 制 、 消 除 或 最 小 化 可 能 影响 系统 资源 不 确定 因素 的 过 程 。 


. 残余 风险 是 采取 了 安全 措施 后 ， 仍 然 可 能 存在 的 风险 。 


4.1.2 ”信息 安全 风险 管理 概述 

言 息 安 全 风险 和 事件 不 可 能 完全 避免 ,关键 在 于 如 何 控制 、 化 解 和 规避 风险 。 开 展 信息 安全 风险 管理 各 项 工作 ， 需 要 遵循 风 
险 管理 [1 的 主要 原则 ， 明 确 管理 的 范围 和 对 象 ， 涵 盖 管 理 的 内 容 和 过 程 ， 了 解 相关 人 员 的 一 般 职责 。 

1. 风 险 管理 的 主要 原则 

为 了 使 风险 管理 有 效 ， 一 个 组 织 应 在 所 有 层面 上 符合 以 下 原则 。 


第 一 是 风险 管理 创造 和 保护 价值 。 风 险 管理 致力 于 人 员 健 康 和 人 身 安全 、 法 规 符合 性 、 公 众 认可 、 环 境 保护 、 产 品质 量 、 项 
目 管理 、 运 营 效 率 、 治 理 和 和 名誉 等 方面 目标 的 达成 与 绩效 提升 。 

第 二 是 风险 管理 是 所 有 组 织 过 程 不 可 分 割 的 一 个 部 分 ， 促 进 组 织 的 持续 改进 。 风 险 管理 不 是 从 组 织 的 主要 活动 和 过 程 中 分 离 
出 来 的 一 项 孤立 活动 ， 而 是 管理 职责 的 一 部 分 ， 在 改进 其 风险 管理 成 熟 度 时 ， 组 织 其 他 方面 的 管理 成 熟 度 也 会 同时 改进 。 


第 三 是 风险 管理 是 透明 的 ， 参 与 人 员 应 包含 广泛 群体 ， 同 时 考虑 人 员 和 文化 因素 。 所 有 级 别 的 决策 者 都 应 适当 、 适 时 地 参与 
风险 管理 ， 确 保 风险 管理 与 当前 重要 问题 保持 相关 ， 且 不 断 更 新 。 同 时 ， 外 部 和 内 部 人 员 的 能 力 、 感 觉 及 意图 能 促进 或 阻碍 组 织 
目标 的 达成 。 


第 四 是 风险 管理 是 定制 的 ， 并 具有 体系 化 、 结 构 化 的 特点 。 风 险 管理 与 组 织 的 外 部 和 内 部 环境 及 风险 状况 一 致 。 体 系 化 、 结 
构 化 的 风险 管理 方法 有 助 于 提高 效率 ， 可 以 获得 持续 、 可 靠 的 结果 。 


第 五 是 风险 管理 是 动态 的 、 反 复 的 和 响应 变化 的 。 风 险 管理 应 持续 感知 和 响应 变化 。 持 续 对 风险 进行 监视 ， 当 发 生 外 部 和 内 
部 事件 ， 或 者 发 生 环 境 和 知识 等 变化 时 ， 要 进行 风险 评审 ， 将 会 发 现 新 的 风险 情况 。 


2. 风 险 管理 的 范围 和 对 象 


信息 安全 的 概念 涵盖 了 信息 、 信 息 载体 和 信息 环境 3 个 方面 的 安全 。 信 息 载体 指 承 载 信息 的 媒介 ， 即 用 于 记录 、 传 输 、 积 累 
和 保存 信息 的 实体 ， 如 纸张 、 硬 盘 和 网 线 等 ; 信息 环境 指 信息 及 信息 载体 所 处 的 环境 ， 包 括 物理 平台 、 系 统 平台 、 网 络 乎 台 和 应 
用 平台 等 硬 环境 和 软环境 。 


了 


息 安 全 风险 管理 始终 以 风险 为 主线 进行 安全 的 管理 。 从 概念 上 讲 ， 信 息 安全 风险 管理 应 该 涉及 信息 安全 上 述 3 个 方面 ( 信 
息 、 信 息 载 体 和 信息 环境 ) 中 包含 的 所 有 相关 对 象 。 然 而 ， 对 于 一 个 具体 的 信息 系统 ， 信 息 安全 风险 管理 可 能 主要 涉及 该 信息 系 
统 的 关键 和 敏感 部 分 。 因 此 ， 根 据 实 际 信息 系统 的 不 同 ， 信 息 安全 风险 管理 的 侧重 点 ( 即 风险 管理 选择 的 范围 和 对 象 重点 ) 应 有 
所 不 同 。 


了 


[1 以 下 出 现 的 “风险 管理 ”， 均 指 “ 信 息 安全 风险 管理 ” 


4.1.3 ”信息 安全 风险 相关 政策 与 标准 


在 我 国 ， 信 息 安全 风险 评估 和 风险 管理 工作 起 步 已 有 十 余年 ， 制 定 了 相应 的 政策 和 标准 。 国 际 上 也 有 风险 相关 标准 发 布 。 


2003 年 ，《 国 家 信息 化 领导 小 组 关于 加 强 信息 安全 保障 工作 的 意见 》 (中 办 发 [2003] 27 号 ) 明确 提出 要 重视 信息 安全 风 
险 评估 工作 ， 将 风险 评估 作为 提高 我 国信 息 安全 保障 水 平 的 一 项 重要 举措 。2006 年 1 月 ， 国 家 网 络 和 信息 安全 协调 小 组 正式 印发 
了 《关于 开展 信息 安全 风险 评估 工作 的 意见 》 (国信 办 [2006]5 号 ) ， 就 信息 安全 风险 评估 工作 的 基本 内 容 和 原则 ， 以 及 开展 信 
息 安 全 风险 评估 工作 的 有 关 安 排 等 做 出 规定 和 部 署 ， 贯 彻 和 落实 了 27 号 文件 的 精神 。2008 年 8 月 ， 国 家 发 展 和 改革 委员 会 、 公 安 
部 、 国 家 保密 局 联合 发 布 了 《关于 加 强国 家 电子 政务 工程 建设 项 目 信息 安全 风险 评估 工作 的 通知 》 (发 改 高 技 [2008]2071 
号 ) ， 此 通知 的 目的 是 为 了 进一步 贯彻 落实 27 号 文件 的 精神 ， 加 强 基础 信息 网 络 和 重要 信息 系统 安全 保障 ， 规 范 国家 电子 政务 
工程 建设 项 目 信息 安全 风险 评估 工作 。 


2007 年 6 月 14 日 ， 我 国正 式 发 布 了 国家 标准 GB/T 20984 一 2007《 信 息 安全 风险 评估 规范 》， 标 志 着 我 国 开展 信息 安全 风险 
评估 工作 有 了 正式 的 参考 标准 。 该 标准 提出 了 风险 评估 的 基本 概念 、 要 素 关系 、 分 析 原 理 、 实 施 流程 和 评估 方法 ， 以 及 风险 评估 
在 信息 系统 生命 周期 不 同 阶段 的 实施 要 点 和 工作 形式 ， 适 合用 于 规范 组 织 开 展 风险 评估 工作 。2009 年 9 月 30 日 ， 我 国 又 发 布 了 国 
家 标准 化 指导 性 技术 文件 GB/Z 24364 一 2009《 信 息 安 全 风险 管理 指南 》， 将 对 信息 安全 相关 工作 的 规范 ， 从 风险 评估 的 单一 活 
动 扩展 到 风险 管理 的 全 生命 周期 。 此 标准 化 指导 性 技术 文件 规定 了 信息 安全 风险 管理 的 内 容 和 过 程 ， 为 信息 系统 生命 周期 不 同 阶 
段 的 风险 管理 提供 指导 。 


在 国际 方面 ， 开 展 风险 评估 工作 可 以 参照 ISO/IEC TR 13335 一 3: 1998《 信 息 技 术 一 IT 安全 管理 指南 一 第 3 部 分 : IT 安全 管 
理 技术 》 和 ISO/IEC TR 13335 一 4: 2000《 信 息 技术 一 IT 安全 管理 指南 一 第 4 部 分 : 选择 控制 措施 》， 这 两 份 文件 是 技术 报告 ， 
属于 标准 信息 文件 ， 不 具有 正式 标准 文件 的 地 位 ， 目 前 均 为 废弃 状态 。2008 年 ， 国 际 标准 ISO/IEC 27005: 2008《 信 息 安全 风 
险 管 理 》 发 布 ， 此 标准 技术 性 废弃 和 替代 了 ISO/IEC TR 13335 一 3: 1998、1SO/IEC TR 13335 一 4: 2000。2011 年 ， 此 标准 被 
修订 ， 第 二 个 版 本 ISO/IEC 27005: 2011 发 布 ， 技 术 性 废弃 和 替代 了 第 一 个 版 本 ISO/IEC 27005: 2008。1SO/IEC 27005 标 准 为 
言 息 安全 风险 管理 提供 指南 ， 适 用 于 所 有 类 型 的 组 织 ， 并 支持 组 织 基 于 ISO/IEC 27001 实 施 信息 安全 管理 体系 。 另 外 ， 还 可 参考 
通用 风险 管理 相关 标准 ， 如 国际 标准 ISO GUIDE 73: 2009《 风 险 管理 一 一 术语 》、1SO 31000: 2009《 风 险 管理 一 一 主要 原 
则 和 指南 》、IEC/ISO 31010: 2009《 风 险 管理 一 一 风险 评估 技术 》。 标 准 ISO GUIDE 73 定 义 了 与 风险 、 风 险 管理 和 风险 管理 
过 程 相关 的 所 有 术语 ， 标 准 ISO 31000 提 供 风险 管理 的 主要 原则 和 一 般 指南 ， 适 用 于 任何 组 织 和 个 人 。 标 准 IEC/ISO 31010 支 持 
标准 ISO 31000， 并 为 风险 评估 在 系统 化 的 技术 选择 和 应 用 方面 提供 指南 。 


在 各 国标 准 方面 ， 风 险 相 关 的 标准 可 以 参考 美国 的 NIST SP 800 一 30 (2012) 《实施 风险 评估 指南 》、NIST SP 800 一 
39 (2011) 《管理 信息 安全 风险 : 组 织 、 使 命 和 信息 系统 梗概 》、NIST SP 800 一 37 (2010) 《联邦 信息 系统 应 用 风险 管理 框 
架 指 南 : 安全 生命 周期 方法 》、NIST SP 800 一 53 (2010) 《为 联邦 信息 系统 和 组 织 推荐 的 安全 控制 措施 》、NIST SP 800 一 
53A (2010) 《联邦 信息 系统 和 组 织 安全 控制 措施 评估 指南 : 建立 有 效 的 安全 评估 计划 》。 其 中 ，NIST SP 800 一 30 支 持 NIST 
SP 800 一 39， 为 联邦 信息 系统 和 组 织 实施 风险 评估 提供 指南 ， 其 描述 了 执行 风险 评估 过 程 的 每 一 个 步骤 (如 准备 评估 、 实 施 评 
估 、 沟 通 评 估 结 果 和 维持 评估 ) ， 以 及 风险 评估 和 其 他 风险 管理 过 程 如 何 相互 补充 与 协调 。 


4.2 ”信息 安全 风险 管理 主要 内 容 


言 息 安 全 风险 管理 一 般 包 括 背 景 建立 、 风 险 评估 、 风 险 处 理 、 批 准 监督 、 监 控 审 核 和 沟通 咨询 ， 这 6 个 方面 的 内 容 构成 了 一 
个 螺旋 式 上 升 循环 ， 使 得 受 保护 系统 在 自身 和 环境 的 变化 中 能 够 不 断 地 应 对 新 的 安全 需求 和 风险 。 


4.2.1 ”信息 安全 风险 管理 的 基本 内 容 和 过 程 


对 信息 安全 风险 进行 有 效 和 持续 的 控制 ， 实 现 信息 安全 风险 管理 目标 ， 依 赖 于 风险 管理 的 背景 建立 、 风 险 评 估 、 风 险 处 理 、 
批准 监督 、 监 控 审 查 和 沟通 咨询 各 阶段 相应 工作 的 落实 ， 如 图 4-3 所 示 。 对 于 前 4 个 阶段 ， 每 一 阶段 的 输出 结果 ， 作 为 下 一 阶段 
的 输入 ， 监 控 审 查 和 沟通 咨询 则 贯穿 其 中 。 
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图 4-3 信息 安全 风险 管理 的 内 容 和 过 程 


背景 建立 是 信息 安全 风险 管理 的 第 一 步 ， 目 的 是 为 了 明确 信息 安全 风险 管理 的 范围 和 对 象 ， 以 及 对 象 的 特性 和 安全 要 求 ， 完 
成 信息 安全 风险 管理 项 目的 规划 和 准备 ， 以 保障 后 续 风 险 管理 活动 的 顺利 进行 。 背 景 建立 的 依据 是 国家 、 地 区 或 行业 的 相关 政 
策 、 法 律 、 法 规 和 标准 ， 以 及 机 构 的 使 命 、 信 息 系统 的 业务 目标 和 特性 。 


背景 建立 的 过 程 一 般 包 括 风险 管理 准备 、 信 息 系统 调查 、 信 息 系统 分 析 和 信息 安全 分 析 4 个 阶段 。 第 1 阶段 确定 风险 管理 对 
象 、 组 建 团队 、 制 订 计划 和 获得 支持 ， 形 成 风险 管理 计划 书 。 第 2 阶段 调查 信息 系统 的 业务 目标 、 业 务 特性 、 管 理 特性 和 技术 特 
性 ， 形 成 信息 系统 的 描述 报告 。 第 3 阶段 分 析 信 息 系统 的 体系 结构 和 关键 要 素 ， 形 成 分 析 报 告 。 第 4 阶段 分 析 信 息 系统 的 安全 环 


境 和 要 求 ， 形 成 信息 系统 的 安全 要 求 报告 。 
2. 风 险 评估 


风险 评估 是 信息 安全 风险 管理 的 第 二 步 ， 目 的 是 针对 风险 管理 对 象 所 面临 的 风险 进行 识别 、 分 析 和 评价 ， 通 过 风险 评估 的 结 
果 获 得 信息 安全 需求 。 信 息 安 全 风险 管理 需要 依靠 风险 评估 的 结果 确定 随后 的 风险 处 理 和 批准 监督 活动 。 风 险 评估 使 得 组 织 能 够 
准确 定位 风险 管理 的 策略 、 实 践 和 工具 ， 能 够 将 安全 活动 的 重点 放 在 重要 问题 上 ， 还 能 够 选择 成 本 合理 、 适 用 的 安全 对 策 。 基 于 
风险 评估 的 风险 管理 方法 经 实践 证 明 是 有 效 和 实用 的 ， 已 被 广泛 应 用 于 各 个 领域 。 





风险 评估 只 能 获得 信息 安全 现状 ， 只 是 为 信息 安全 活动 提供 一 个 方向 ， 并 不 会 导致 重大 的 信息 安全 改进 。 不 管 评估 方法 有 多 
详细 和 多 专业 ， 也 只 能 描述 风险 状态 ， 而 不 会 改进 组 织 的 安全 状态 。 只 有 利用 评估 结果 持续 地 进行 改进 活动 ， 实 现 风险 有 效 管 
理 ， 才 能 使 组 织 的 安全 状态 得 到 改善 。 科 学 和 系统 的 风险 评估 是 成 功 的 信息 安全 风险 管理 的 基础 。 


风险 评估 的 过 程 一 般 包 括 风 险 评估 准备 、 风 险要 素 识别 、 风 险 分 析 和 风险 结果 判定 4 个 阶段 。 第 1 阶段 制订 风险 评估 计划 和 
方案 ， 选 择 风 险 评估 和 工具 ， 为 后 续 的 风险 评估 的 实施 做 好 准备 ， 此 阶段 形成 的 计划 书 和 方案 需要 得 到 信息 系统 和 信息 安全 风险 
管理 高 层 的 认可 和 批准 。 第 2 阶段 识别 需要 保护 的 资产 、 面 临 的 威胁 以 及 存在 的 脆弱 性 ， 并 分 别 赋值 ， 同 时 确认 已 有 的 安全 措 
施 ， 形 成 需要 保护 的 资产 清单 ， 以 及 面临 的 威胁 、 人 存在 的 脆弱 性 和 已 有 安全 措施 3 份 列表 。 第 3 阶段 分 析 安 全 事件 发 生 的 可 能 性 
及 造成 的 损失 ， 并 实施 风险 计算 ， 形 成 风险 计算 报告 。 第 4 阶段 评价 风险 的 等 级 和 综合 评价 风险 状况 ， 形 成 风险 程度 等 级 列表 和 
风险 评估 报告 。 


3. 风 险 处 理 


风险 处 理 是 信息 安全 风险 管理 的 第 3 步 ， 依 据 风 险 评估 的 结果 ， 选 择 和 实施 合适 的 安全 措施 ， 目 的 是 为 了 将 风险 始终 控制 在 
可 接受 的 范围 内 。 


风险 处 理 的 方式 主要 有 规避 、 转 移 、 降 低 和 接受 4 种 方式 。 
第 一 是 规避 方式 ， 通 过 不 使 用 面临 风险 的 资产 来 避免 风险 。 
第 二 是 转移 方式 ， 通 过 将 面临 风险 的 资产 或 其 价值 转移 到 更 安全 的 地 方 来 避免 或 降低 风险 。 


第 三 是 降低 方式 ， 通 过 对 面临 风险 的 资产 采取 保护 措施 来 降低 风险 。 保 护 措施 可 以 从 构成 风险 的 威胁 源 、 威 胁 行 为 、 脆 弱 
性 、 资 产 和 影响 这 5 个 方面 来 降低 风险 。 


第 四 是 接受 方式 ， 选 择 对 风险 不 采取 进一步 的 处 理 措施 ， 接 受 风险 可 能 带 来 的 结果 。 接 受 风 险 的 前 提 是 确定 了 风险 的 等 级 ， 
评估 了 风险 发 生 的 可 能 性 以 及 带 来 的 潜在 影响 ,分 析 了 使 用 每 种 处 理 措施 的 可 行 性 ， 并 进行 了 较 全 面 的 成 本 效益 分 析 ， 认 定 某 些 
功能 、 服 务 、 信 息 或 资产 不 需要 进一步 保护 。 


风险 处 理 的 过 程 一 般 包 括 现存 风险 判断 、 处 理 目标 确立 、 处 理 措施 选择 和 处 理 措施 实施 4 个 阶段 。 第 1 阶段 确定 可 接受 风险 
的 等 级 ， 判 断 现存 风险 是 否 可 接受 。 形 成 风险 接受 等 级 划分 表 和 现存 风险 接受 判断 书 ， 并 需要 得 到 信息 系统 和 信息 安全 风险 管理 
决策 层 和 管理 层 的 认可 和 批准 ， 若 判断 结果 可 接受 ， 则 跳出 风险 处 理 过 程 ， 进 入 批准 监督 过 程 ， 不 接受 则 继续 风险 处 理 过 程 的 下 
一 步 。 第 2 阶段 分 析 风 险 处 理 需求 和 确立 风险 处 理 目标 ， 形 成 风险 处 理 需 求 分 析 报 告 和 风险 处 理 目标 列表 。 第 3 阶段 选择 风险 处 
理 方式 和 处 理 措施 ， 形 成 入 选 风 险 处 理 方式 说 明报 告 和 处 理 措施 说 明报 告 。 第 4 阶段 制订 风险 处 理 实施 计划 ， 并 实施 风险 处 理 措 
施 ， 形 成 风险 处 理 实施 计划 书 和 风险 处 理 实施 记录 。 


4 批准 监 上 


批准 监督 是 信息 安全 风险 管理 的 第 4 步 ， 在 这 一 步 ， 机 构 的 决策 层 依据 风险 评估 和 风险 处 理 的 结果 是 否 满足 信息 系统 安全 需 


求 ， 做 出 是 否认 可 风险 管理 活动 的 决定 。 


批准 监督 包括 批准 和 持续 监督 两 部 分 。 批 准 ， 是 指 机 构 的 决策 层 依据 风险 评估 和 风险 处 理 的 结果 是 否 满足 信息 系统 的 安全 要 
求 ， 做 出 是 否认 可 风险 管理 活动 的 决定 。 持 续 监 督 ， 是 指 检查 机 构 及 其 信息 系统 以 及 信息 安全 相 天 的 环境 有 无 变化 ， 监 督 变 化 因 
素 是 否 有 可 能 引入 新 的 安全 隐患 并 影响 到 信息 系统 的 安全 保障 级 别 。 


批准 通过 的 依据 (原则 ) 有 两 个 ， 一 是 信息 系统 的 残余 风险 是 可 接受 的 ， 二 是 安全 措施 能 够 满足 信息 系统 当前 业务 的 安全 需 


批准 监督 的 过 程 一般 包 括 批准 申请 、 批 准 处 理 和 持续 监督 3 个 阶段 。 第 1 阶段 申请 者 提交 批准 申请 及 批准 材料 ， 批 准 机 构 受 
理 批准 申请 和 批准 材料 ， 审 核 通过 后 ， 返 回 批准 受理 回执 。 第 2 阶段 批准 机 构 审阅 批准 材料 ， 做 出 批准 决定 ， 形 成 批准 决定 书 。 
如 果 通 过 批准 则 进入 持续 监督 过 程 ; 否则 结束 本 次 信息 安全 风险 管理 的 循环 ， 启 动 新 一 轮 循环 进行 改进 。 第 3 阶段 检查 批准 有 效 
期 是 否 到 期 和 检查 有 无 变化 。 若 到 期 需 重新 开始 批准 审查 过 程 ， 未 到 期 则 检查 机 构 、 信 息 系统 和 信息 安全 相关 的 环境 有 无 变化 ， 
形成 批准 到 期 通知 书 、 机 构 变 化 因素 的 描述 报告 和 环境 变化 因素 的 描述 报告 。 


5. 监 控 审 查 


监控 审查 对 背景 建立 、 风 险 评估 、 风 险 处 理 和 批准 监督 4 个 信息 安全 风险 管理 主 循环 阶段 进行 监控 和 审查 ， 并 分 别 形 成 相应 
的 监控 审查 记录 。 


信息 安全 风险 管理 活动 本 身 也 存在 风险 。 监 控 审 查 可 以 及 时 发 现 已 经 出 现 或 即将 出 现 的 变化 、 偏 差 和 延误 等 问题 ， 并 采取 适 
当 的 措施 进行 控制 和 纠正 ， 从 而 减少 因此 造成 的 损失 ， 保 证 信息 安全 风险 管理 主 循环 的 有 效 性 。 这 正 是 监控 审查 活动 的 意义 所 
在 。 


监控 审查 包括 三 方面 的 内 容 。 一 是 监控 过 程 有 效 性 ， 要 求 对 过 程 是 否 完整 和 是 否 有 效 地 被 执行 进行 监控 ;对 输出 文档 是 否 齐 
全 和 是 否 内 容 完备 进行 监控 。 二 是 监控 成 本 有 效 性 ， 要 求 对 执行 成 本 与 所 得 效果 相 比 是 否 合理 进行 监控 。 三 是 审查 结果 有 效 性 和 
符合 性 ， 要 求 对 输出 结果 是 否 符合 信息 系统 的 安全 要 求 进行 审查 ;对 输出 结果 是 否 因 信息 系统 自身 或 环境 的 变化 而 过 时 进行 审 


沟通 咨询 为 背景 建立 、 风 险 评估 、 风 险 处 理 和 批准 监督 4 个 信息 安全 风险 管理 主 循环 过 程 中 相关 人 员 提 供 沟通 和 咨询 ， 并 分 
别 形成 相应 的 沟通 和 咨询 记录 。 


相关 人 员 行 动 的 协调 一 致 以 及 相关 知识 和 技能 的 熟练 掌握 是 保证 信息 安全 风险 管理 活动 顺利 和 有 效 进行 的 十 分 关键 的 因素 。 
通过 交流 和 沟通 ， 保 持 行动 的 协调 和 一 致 ， 共 同 实现 安全 目标 ; 通过 培训 和 咨询 ， 保 证 相关 人 员 具 有 足够 的 知识 和 技能 ， 配 合 实 
安全 目标 。 这 正 是 沟通 咨询 的 意义 所 在 。 

沟通 咨询 过 程 应 实现 两 方面 的 目标 。 一 是 面向 参与 人 员 的 沟通 : 与 决策 层 沟通 ， 得 到 其 理解 和 批准 ; 与 管理 层 和 执行 层 沟 
通 ， 得 到 其 理解 和 协作 ; 与 支持 层 沟通 ， 使 其 了 解 并 得 到 其 支持 ; 与 用 户 层 沟通 ， 使 其 了 解 并 得 到 其 配合 。 二 是 面向 相关 人 员 咨 
询 : 为 所 有 层面 的 相关 人 员 提 供 咨询 和 培训 ， 提 高 其 安全 意识 、 知 识 和 技能 。 


涉及 此 节 更 详细 的 步骤 ， 请 查阅 GB/Z 24364 一 2009《 信 息 安全 风险 管理 指南 》。 


4.2.2 ”信息 系统 生命 周期 与 信息 安全 风险 管理 





有 效 的 信息 安全 风险 管理 是 动态 的 、 持 续 的 风险 管理 ， 需 要 贯穿 于 信息 系统 的 全 生命 周期 。 





1. 信 息 系 统 生命 周期 与 信息 安全 风险 管理 的 关系 


言 息 系 统 生 命 周 期 是 某 一 信息 系统 从 无 到 有 ， 表 到 | 废弃 的 整个 过 程 ， 包 括 规划 、 设 计 、 实 施 、 运 行 维护 和 废弃 5 个 基本 阶 
段 。 为 了 达到 其 安全 目标 ， 信 息 系 统 生命 周期 的 每 个 阶段 都 需要 相应 的 风险 管理 手段 作为 支持 。 


信息 安全 目标 就 是 要 实现 信息 系统 的 基本 安全 特性 ( 即 信 息 安全 基本 属性 ) ， 并 达到 所 需 的 保障 级 别 。 信 息 安 全 基本 属性 包 
括 保 密 性 、 完 整 性 、 可 用 性 、 真 实 性 和 抗 抵赖 性 等 ， 每 个 一 属性 都 有 相应 的 保障 级 别 作为 其 强度 的 度量 。 保 障 级 别 指 这 些 基 本 安 
全 属性 在 具体 实现 中 达到 的 级 别 或 强度 ， 可 以 作为 安全 信任 的 尺度 。 信 息 系 统 的 安全 保障 级 别 主 要 是 通过 对 信息 系统 进行 安全 测 
评 和 认证 来 确定 。 


言 息 系 统 生 命 周 期 各 阶段 的 特性 及 其 安全 目标 的 保障 级 别 随行 业 特点 和 系统 特性 的 不 同 而 不 同 。 不 同行 业 的 不 同系 统 在 信息 
系统 生命 周期 的 不 同 阶段 ， 对 信息 安全 基本 属性 的 要 求 和 侧重 不 同 ， 因 此 ， 各 行业 可 以 在 国家 相关 标准 的 指引 下 开发 各 自行 业 的 
言 息 安全 风险 管理 规范 ， 各 组 织 也 应 根据 各 自 业务 特点 及 各 自 特定 的 信息 系统 ， 参 照 国 家 标准 、 行 业 标 准 来 制定 自己 组 织 的 信息 
安全 风险 管理 规范 及 实施 细则 。 


2. 信 息 系统 生命 周期 各 阶段 的 信息 安全 风险 管理 


虽然 信息 系统 生命 周期 各 阶段 所 采用 的 安全 风险 管理 的 原则 、 方 法 是 一 致 的 ， 但 是 由 于 各 阶段 实施 的 对 象 、 内 容 和 需求 不 
同 ， 使 得 风险 管理 的 安全 目标 和 安全 需求 也 有 所 不 同 。 


1) 规划 阶段 ， 信 息 系 统 规划 阶段 的 安全 目标 是 明确 信息 系统 安全 建设 的 目的 ， 对 信息 系统 安全 建设 实现 的 可 能 性 进行 分 析 
论证 并 设计 出 总 体 安全 规划 方案 。 为 了 保证 安全 目标 的 实现 ， 需 要 对 信息 系统 规划 阶段 中 可 能 引入 安全 风险 的 环节 进行 风险 管 
理 ， 从 而 降低 在 项 目 后 期 处 理 相 同安 全 风险 所 带 来 的 高 额 成 本 。 信 息 系统 规划 阶段 所 涉及 的 主要 安全 需求 包括 : 明确 安全 总 体 方 
针 ， 确 保安 全 总 体 方针 源 自 业 务 期 望 ， 清 晰 描述 所 涉及 系统 的 安全 现状 ,提交 明确 的 安全 需求 文档 ， 明 确 风 险 评估 准则 并 达成 一 
致 ， 清 晰 描述 从 系统 的 哪些 层次 进行 安全 实现 ， 对 系统 规划 中 安全 实现 的 可 能 性 进行 充分 分 析 和 论证 。 


2) 设计 阶段 ， 信 息 系统 设计 阶段 的 安全 目标 是 依据 规划 阶段 输出 的 总 体 安全 规划 方案 来 设计 信息 系统 安全 的 实现 结构 ( 包 
括 功 能 划分 、 接 口 协 议和 性 能 指标 等 ) 和 实施 方案 (包括 实现 技术 、 设 备 选 型 和 系统 集成 等 ) 。 在 设计 信息 系统 的 实现 结构 和 实 
施 方案 时 ， 在 技术 的 选择 、 配 合 和 管理 等 众多 环节 均 容易 引入 安全 风险 。 因 此 ， 对 天 键 的 环节 应 提出 必要 的 安全 要 求 并 有 针对 性 
地 进行 安全 风险 管理 。 信 息 系统 设计 阶段 的 主要 安全 需求 包括 : 设计 方案 符合 系统 建设 规划 ， 设 计 方案 中 的 安全 需求 符合 规划 阶 
段 的 安全 目标 ， 对 用 以 实现 安全 系统 的 各 类 技术 进行 有 效 性 评估 ， 对 用 于 实施 方案 的 产品 需 满足 安全 保护 等 级 的 要 求 ， 对 自主 开 
发 的 软件 要 在 设计 阶段 就 充分 考虑 安全 风险 。 


3) 实施 阶段 ， 信 息 系统 实施 阶段 安全 目标 是 按照 规划 和 设计 阶段 所 定义 的 信息 系统 安全 实施 方案 ， 采 购 设 备 和 软件 ， 开 发 
定制 功能 ， 集 成 、 部 署 、 配 置 和 测试 信息 系统 的 安全 机 制 ， 培 训 人 员 ， 并 对 是 否 人 允许 系 统 投入 运行 进行 批准 监督 。 信 息 系 统 实施 
阶段 的 主要 安全 需求 包括 : 确保 采购 的 设备 、 软 件 和 其 他 系统 组 件 满足 已 定义 的 安全 要 求 ; 确保 定制 开发 的 软件 和 系统 满足 已 定 
义 的 安全 要 求 ; 确保 整个 系统 已 按照 设计 要 求 进行 了 部 署 和 配置 ， 并 通过 整体 的 安全 测试 来 验证 系统 的 安全 功能 和 安全 特性 符合 
设计 要 求 ; 通过 对 相关 人 员 的 操作 培训 和 安全 培训 ， 确 保 人 员 已 具备 维持 系统 安全 功能 和 安全 特性 的 能 力 ;通过 对 系统 投入 运行 
前 的 批准 监督 ， 确 保 信息 系统 的 使 用 已 得 到 授权 。 


4) 运行 维护 阶段 ， 信 息 系统 运行 维护 阶段 安全 目标 是 在 信息 系统 经 过 授权 投入 运行 之 后 ， 确 保 在 运行 过 程 中 ， 以 及 信息 系 
统 或 其 运行 环境 发 生变 化 时 维持 系统 的 正常 运行 和 安全 性 。 信 息 系统 运行 维护 阶段 的 安全 需求 包括 : 在 信息 系统 未 发 生 更 改 的 情 
况 下 ， 维 持 系统 的 正常 运行 ， 进 行 日 常 的 安全 操作 及 安全 管理 ;在 信息 系统 及 其 运行 环境 发 生变 化 的 情况 下 ， 进 行 风 险 评估 并 针 
对 风险 制定 处 理 措施 ; 定期 进行 风险 再 评估 工作 ， 维 持 系统 的 持续 安全 ; 定期 进行 信息 系统 的 重新 审批 工作 ， 确 保 系统 授权 时 间 


的 有 效 性 。 


5) 废弃 阶段 ， 信 息 系统 废弃 阶段 安全 目标 是 确保 对 信息 系统 的 过 时 或 无 用 部 分 进行 安全 报废 处 理 ， 防 止 信息 系统 的 安全 要 
求 和 安全 功能 遭 到 破坏 。 废 弃 阶 段 涉 及 信息 、 硬 件 和 软件 的 安全 处 置 ， 应 防止 将 敏感 信息 泄露 给 外 部 人 员 。 在 这 一 阶段 主要 的 风 
险 管理 活动 是 对 系统 废弃 的 风险 评估 和 风险 处 理 。 


4.3 ”信息 安全 风险 评估 主要 内 容 


言 息 安全 风险 评估 是 信息 安全 风险 管理 工作 中 的 重要 环节 ， 信 息 安 全 风险 评估 活动 的 质量 直接 决定 整个 信息 安全 风险 管理 工 
作 的 成 风 ， 也 直接 决定 是 否 能 为 组 织 的 业务 运营 提供 切实 的 信息 安全 保障 。 


言 息 安 全 风险 评估 这 一 实践 活动 ， 就 是 从 风险 管理 的 角度 ， 运 用 科学 的 方法 和 手段 ， 系 统 地 分 析 网 络 与 信息 系统 所 面临 的 威 
胁 及 其 存在 的 脆弱 性 ， 评 估 安 全 事件 一 旦 发 生 可 能 造成 危害 的 严重 程度 ， 提 出 有 针对 性 的 抵御 威胁 的 防护 对 策 和 整改 措施 ， 并 为 
防范 和 化 解 信息 安全 风险 、 将 风险 控制 在 可 接受 的 水 平 、 最 大 限度 地 保障 网 络 和 信息 安全 提供 科学 依据 。 


4.3.1 风险 评估 工作 形式 


信息 安全 风险 评估 分 为 自 评估 和 检查 评估 两 种 形式 。 信 息 安全 风险 评估 应 以 自 评估 为 主 ， 自 评估 和 检查 评估 相互 结合 、 互 为 
补充 。 


1. 自 评估 


自 评估 是 指 信息 系统 拥有 、 运 营 或 使 用 单位 发 起 的 对 本 单位 信息 系统 进行 的 风险 评估 。 自 评估 应 参照 相应 标准 ， 依 据 制 订 的 
评估 方案 、 评 估 准 则 ， 结 合 系统 特定 的 安全 要 求 进行 实施 。 周 期 性 进行 的 自 评估 可 以 在 评估 流程 上 适当 简化 ， 重 点 针对 自 上 次 评 
估 后 系统 发 生变 化 后 引入 的 新 威胁 ， 以 及 系统 脆弱 性 的 完整 识别 ， 以 便于 两 次 评估 结果 的 对 比 。 但 系统 发 生 重大 变更 时 ， 应 及 时 
进行 完整 的 评估 。 


自 评估 可 由 发 起 方 实施 或 委托 风险 评估 服务 技术 支持 方 实施 。 由 发 起 方 实施 的 评估 可 以 降低 实施 的 费用 、 提 高 信息 系统 相关 
人 员 的 安全 意识 ， 但 可 能 由 于 缺乏 风险 评估 的 专业 技能 ， 其 结果 不 够 深入 准确 ; 同时 ， 受 到 组 织 内 部 各 种 因素 的 影响 ， 其 评估 结 
果 的 客观 性 易 受 影响 。 委 托 风险 评 佑 服务 技术 支持 方 实施 的 评估 ， 过 程 比较 规范 、 评 佑 结果 的 客观 性 比较 好 ， 可 信 程 度 较 高 ; 但 
由 于 受到 行业 知识 技能 及 业务 了 解 的 限制 ， 对 被 评估 系统 的 了 解 ， 尤 其 是 对 业务 方面 的 特殊 要 求 的 了 解 存 在 一 定 的 局 限 。 同 时 ， 
由 于 引入 第 三 方 本 身 就 是 一 个 风险 因素 ， 因 此 ， 对 其 背景 与 资质 、 评 佑 过 程 与 结果 的 保密 要 求 等 方面 应 进行 控制 。 


此 外 ， 为 保证 风险 评 佑 的 实施 ， 与 系统 相连 的 相关 方 也 应 配合 ， 以 防止 给 其 他 方 的 使 用 带 来 困难 或 引入 新 的 风险 。 
2. 检 查 评估 
检查 评估 是 指 信息 系统 上 级 管理 部 门 组 织 的 或 国家 有 关 职 能 部 门 依法 开展 的 风险 评估 。 


使 查 评 估 可 依据 相关 标准 的 要 求 ， 实 施 完整 的 风险 评估 过 程 。 检 查 评估 也 可 在 自 评估 实施 的 基础 上 ， 对 关键 环节 或 重点 内 容 
实施 抽样 评估 ， 包 括 但 不 限于 以 下 内 容 : 自 评 估 队 伍 及 技术 人 员 审 查 、 自 评估 方法 的 检查 、 自 评估 过 程控 制 与 文档 记录 检查 、 自 
评估 资产 列表 审查 、 自 评估 威胁 列表 审查 、 自 评估 脆弱 性 列表 审查 、 现 有 安全 措施 有 效 性 检查 、 自 评估 结果 审查 与 采取 相应 措施 


的 跟踪 检查 、 自 评估 技术 技能 限制 未 完成 项 目的 检查 评估 、 上 级 关注 或 要 求 的 关键 环节 和 重点 内 容 的 检查 评估 、 软 硬件 维护 制度 
及 实施 管理 的 检查 ， 以 及 突 发 事件 应 对 措施 的 检查 。 


检查 评估 也 可 委托 风险 评估 服务 技术 支持 方 实施 ， 但 评估 结果 仅 对 检查 评估 的 发 起 单位 负责 。 由 于 检查 评估 代表 了 主管 机 
关 ， 涉 及 评估 对 象 往往 较 多 。 因 此 ， 要 对 实施 检查 评估 机 构 的 资质 进行 严格 管理 。 


等 级 保护 测评 、 检 查 评 佑 都 是 在 既定 安全 基线 的 基础 上 开展 的 符合 性 测评 ， 其 中 等 级 保护 测评 是 符合 国家 安全 要 求 的 测评 ， 
检查 评估 是 符合 行业 主管 部 门 安 全 要 求 的 符合 性 测评 。 而 风险 评估 是 在 国家 、 行 业 安 全 要 求 的 基础 上 ， 以 被 评估 系统 特定 安全 要 
求 为 目标 而 开展 的 风险 识别 、 风 险 分 析 和 风险 评价 活动 。 从 一 个 组 织 的 生存 、 发 展 来 看 ， 即 便 没有 国家 、 行 业 的 符合 性 测评 要 
求 ， 风 险 评估 也 是 需要 的 。 从 根本 上 看 ， 风 险 评估 是 维护 组 织 自身 利益 、 提 高 组 织 竞争 优势 和 保持 组 织 业务 连续 性 不 可 缺少 的 一 
项 重要 活动 。 


4.3.2 风险 评估 方法 


风险 评估 方法 的 选择 可 以 直接 影响 到 风险 评估 过 程 的 每 个 阶段 ， 可 能 影响 到 风险 评估 的 结果 。 组 织 机 构 应 根据 各 自 的 实际 情 
况 ， 选 择 适 当 的 风险 评估 方法 。 风 险 评估 方法 有 很 多 种 ， 概 括 起 来 大 致 可 以 分 为 定性 风险 分 析 、 定 量 风 险 分 析 以 及 半 定 量 风 险 分 
析 (定性 和 定量 风险 分 析 的 综合 ) 3 大 类 。 


定性 风险 分 析 在 风险 评价 时 ， 往 往 需 要 凭借 分 析 者 的 经 验 和 直觉 ， 或 者 业界 的 标准 和 惯例 ， 为 风险 诸 要 素 (资产 价值 、 威 胁 
频率 、 脆 弱 性 利用 的 可 能 性 、 安 全 措施 的 效率 和 成 本 等 ) 的 大 小 或 高 低 程度 定性 分 级 ， 定 性 风险 分 析 更 具 主 观 性 。 定 性 风险 分 析 
技术 包括 危害 与 可 操作 性 分 析 (HAZard and OPerability studies，HAZOP) 、 错 误 树 分 析 、 事 件 树 分 析 、 失 效 模式 及 影响 和 
危害 性 分 析 (Failure Modes and Effectsand Criticality Analysis，FMECA) 等 。 


定性 风险 分 析 通 常用 于 数字 化 数据 不 充分 或 不 可 用 的 情况 ， 也 用 于 资源 有 限 (例如 ， 人 员 、 人 员 专 业 知识 或 预算 ) 以 及 时 间 
进度 不 允许 更 量化 的 评估 。 在 定性 风险 分 析 中 ， 可 以 获取 和 报告 定量 信息 ， 但 风险 级 别 是 主观 确定 的 。 在 这 种 评估 中 ， 使 用 “可 
接受 风险 ”或 “不 可 接受 风险 ”或 其 他 类 似 术语 。 另 外 ， 风 险 级 别 也 可 以 分 为 低 、 中 或 高 等 。 


定性 风险 分 析 是 计算 相对 值 的 。 通 常 通过 调查 表 和 合作 研讨 会 的 组 合 形式 进行 风险 分 析 ， 涉 及 来 自 组 织 内 各 个 部 门 的 人 员 。 
在 第 一 次 研讨 会 之 前 几 天 或 几 周 内 发 放 调 查 表 ， 发 现 已 经 部 署 了 什么 资产 和 控制 措施 ， 收 集 的 信息 在 随后 举行 的 研讨 会 期 间 非 常 
有 用 。 在 研讨 会 中 ， 参 与 者 确定 资产 并 评估 资产 的 相对 价值 。 接 下 来 ， 参 与 者 尝试 指出 各 个 资产 可 能 面临 的 威胁 ， 然 后 尝试 描述 
这 些 威 胁 在 将 来 可 能 利用 的 漏洞 类 型 。 信 息 安全 专家 和 系统 管理 员 通 常 准备 好 缓解 风险 的 控制 措施 ， 以 便 各 部 门 考虑 并 估计 各 个 
控制 措施 的 成 本 。 最 后 ， 将 分 析 结 果 提 和 交 给 管理 层 以 便 在 成 本 效益 分 析 期 间 进行 考虑 。 


2. 定 量 风险 分 析 
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制 成 本 以 及 在 风险 管理 流程 中 确定 的 所 有 其 他 值 时 ， 尽 可 能 保证 同样 的 客观 。 因 此 ， 
进行 评估 ， 得 出 可 以 量化 的 风险 分 析 结 果 ， 准 确 度量 风险 的 可 能 性 和 损失 量 。 


因为 定量 分 析 处 理 数 字 和 人 金额 价值 ， 它 必须 有 公式 。 定 量 风险 分 析 的 一 种 方法 就 是 计算 年 度 预期 损失 (Annualized Loss 
Expectancy，ALE) ， 计 算 公 式 如 下 。 


ALE= 三 单 次 预期 损失 (Single Loss Expectancy，SLE) X 年 度 发 生 率 (Annualized Rate of Occuttence ，ARO ) 
SLE 二 暴露 系数 (Exposure Factor，EF) X 资产 价值 


年 度 预 期 损失 描述 了 组 织 由 于 此 威胁 每 年 所 导致 的 损失 金额 。 单 次 预期 损失 描述 了 组 织 由 于 此 威胁 发 生 一 次 所 导致 的 损失 金 
额 。 年 度 发 生 率 ， 是 威胁 发 生 的 估算 频率 。 如 果 威 胁 估算 为 每 十 年 友 生 一 次 ， 则 ARO 为 0.1， 每 百年 发 生 一 次 则 ARO 为 0.01。 暴 
露 系 数 是 威胁 发 生 所 造成 资产 损失 的 估算 百分比 。 


例如 ， 组 织 需要 计算 由 于 火灾 这 种 威胁 对 一 个 计算 机 机 房产 生 的 风险 。 假 设 此 机 房 的 资产 价值 为 一 百 万 (1000000) 元 人 民 
币 ; 火灾 将 导致 资产 总 价值 损失 25% (EF = 25%) ， 也 就 是 说 一 次 火灾 过 后 资产 总 价值 将 损失 25 万 (250000) 元 人 民 币 (SLE 
= 资产 价值 xEF = 1000000x0.25 = 250000 元 ) ; 火灾 发 生 的 可 能 性 为 十 年 发 生 一 次 (ARO = 0.1) ; 因此 火灾 这 种 威胁 的 年 度 
预期 损失 为 2 万 5 干 (25000) 元 人 民 币 (ALE = SLExARO = 250000x0.1= 25000 元 ) 。 


ALE 提 供 了 一 个 可 能 的 年 度 损 失 价值 ， 组 织 可 以 基于 ALE 确 定 一 年 需要 多 少 成 本 来 实施 一 种 控制 或 安全 措施 以 阻止 此 类 损害 
并 提供 足够 级 别 的 保护 。 为 了 知道 需要 花费 多 少 钱 来 避免 威胁 的 潜在 后 果 ， 量 化 风险 的 实际 可 能 性 和 以 货币 尺度 量化 威胁 造成 的 
损失 是 十 分 重要 的 。 


定量 分 析 方法 有 一 些 固有 的 难以 克服 的 缺点 。 首 先 ， 没 有 正式 且 严格 的 方法 来 有 效 计 算 资 产 的 价值 和 控制 措施 的 成 本 。 换 言 
之 ,尽管 该 方法 可 以 提供 更 多 详细 资料 ， 但 实际 上 掩盖 了 财务 价值 数字 是 估计 而 来 这 一 事实 。 如 何 可 以 精确 且 正 确 地 计算 高 度 公 
开 的 安全 事件 可 能 对 品牌 造成 的 影响 ”如 果 可 行 ， 可 以 检查 历史 数据 ， 但 通常 情况 下 不 行 。 其 次 ， 尝 试 过 小 心 翼 翼 地 应 用 各 方面 
定量 风险 分 析 的 组 织 会 发 现 执行 分 析 流 程 需要 大 量 的 成 本 。 此 类 项 目 通常 需要 非常 长 的 时 间 来 完成 其 全 部 周期 ， 并 且 通 常会 出 现 
员工 对 如 何 计算 具体 财务 价值 发 生 争论 的 情形 。 最 后 ， 对 具有 高 价值 资产 的 组 织 而 言 ， 暴 露 成 本 如 此 之 高 ， 以 至 于 要 用 大 量 的 资 
金 来 缓 解 面 临 的 任何 风险 ， 这 是 不 现实 的 ， 组 织 不 会 用 其 整个 预算 来 保护 单一 资产 或 其 中 几 项 资产 。 


3. 半 定量 风险 分 析 


半 定 量 风 险 分 析 技 术 主要 指 在 风险 分 析 过 程 中 综合 使 用 定性 和 定量 风险 分 析 技 术 对 风险 要 素 的 赋值 方式 ， 实 现 对 风险 各 要 素 
的 度量 数值 化 。 在 实际 的 风险 分 析 活 动 中 ， 经 常 采 用 半 定 量 的 风险 分 析 方 法 。 


4. 定 性 和 定量 风险 分 析 的 比较 


定性 和 定量 风险 分 析 具 有 各 自 的 优点 与 缺点 。 某 些 情 形 会 要 求 组 织 采 用 定量 方法 。 此 外 ， 小 型 组 织 或 资源 有 限 的 组 织 可 能 会 
发 现 定性 方法 更 适合 他 们 的 需求 。 表 4-1 概 括 介绍 了 两 种 方法 的 优点 与 缺点 。 


表 4-1 定量 和 定性 风险 分 析 方 法 的 优 缺点 


定 性 
结果 可 用 货币 值 和 有 具体 数据 (如 百分比 ) 来 表达 可 以 对 风险 的 处 置 排 定 优先 顺序 
按 财务 影响 确定 风险 优先 级 ;， 按 财务 价值 确定 资产 优先 级 更 容易 达成 一 致意 见 


无 须 量化 威胁 频率 
无 须 确定 资产 的 财务 价值 
更 便于 非 安全 或 计算 机 专业 人 员 的 参与 
分 配给 风险 的 影响 值 以 参与 者 的 主观 意见 为 基础 在 重要 的 风险 之 间 没 有 足够 的 区 别 
达成 可 靠 结 果 和 一 致意 见 的 流程 非常 耗 时 没有 进行 成 本 效益 分 析 ， 难 以 证 明 投 
缺点 计算 可 能 会 非常 复杂 且 耗 时 资 控制 措施 是 否 正确 
流程 专业 技术 性 强 ， 参 与 者 若 未 获 指 导 则 无 法 轻松 执行 | 口 结果 取决 于 风险 管理 团队 的 素质 、 经 
验 和 知识 技能 


优点 通过 安全 投资 收益 分 析 推 动 风险 管理 
随 着 组 织 建立 的 历史 数据 记录 而 获得 经 验 ， 其 精确 度 将 


随时 间 的 推移 而 提高 
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在 实际 的 风险 评估 工作 中 ， 可 以 综合 定性 和 定量 风险 分 析 的 优点 ， 根 据 实 际 情况 进行 成 本 有 效 的 风险 评估 。 例 如 ， 可 以 使 用 
定性 风险 分 析 得 出 组 织 机 构 的 风险 总 体 状况 以 及 风险 的 定性 结果 ， 然 后 使 用 定量 的 风险 分 析 对 最 主要 的 风险 进行 详细 的 定量 风险 
分 析 ， 得 出 具体 详细 的 结果 。 这 样 ， 既 可 以 确保 对 风险 的 整体 把 握 ， 也 可 以 将 大 量 人 力 、 物 力 和 财力 集中 在 关键 资产 和 关键 风险 
上 ， 提 供 成 本 有 效 的 风险 评估 结果 。 


4.3.3 ”风险 评估 的 实施 流程 


严密 规范 的 风险 评估 实施 流程 ， 是 确保 风险 评估 结果 可 靠 的 重要 基础 。 通 常 ， 风 险 评 估 实 施 流程 需要 包括 以 下 必要 步骤 。 
1. 风 险 评估 准备 
风险 评估 准备 是 整个 风险 评估 过 程 的 前 提 和 有 效 性 保证 。 在 风险 评估 实施 前 ， 组 织 应 当做 好 以 下 准备 工作 。 


1) 制订 风险 评估 计划 。 根 据 背 景 建立 阶段 输出 的 报告 ， 制 订 风 险 评估 的 实施 计划 ， 包 括 风 险 评估 的 目的 、 意 义 、 范 围 、 目 
标 、 组 织 结 构 、 角 色 及 职责 、 经 费 预算 和 进度 安排 等 。 


2) 制订 风险 评估 方案 。 确 定 风险 评估 的 实施 方案 ， 包 括 风险 评估 的 工作 过 程 、 活 动 、 子 活动 、 每 项 活动 的 输入 数据 和 输出 


3) 选择 风险 评估 方法 和 工具 。 从 现 有 风险 评估 方法 和 工具 库 中 选择 合适 的 风险 评估 方法 和 工具 。 


4) 制定 组 织 机 构 自己 的 风险 评估 准则 。 在 实施 风险 评估 之 前 ， 应 参考 风险 评估 相关 国际 标准 、 国 家 标准 和 行业 标准 ， 制 定 
组 织 机 构 自己 的 风险 评 佑 准则。 风险 评 佑 准则 通常 包括 组 织 机 构 所 采用 的 风险 分 析 方 法 、 风 险 计算 方法 、 资 产 分 类 标准 、 资 产 分 
级 准则 (包括 资产 保密 性 分 级 准则 、 资 产 完整 性 分 级 准则 、 资 产 可 用 性 分 级 准则 、 资 产 重 要 性 分 级 准则 ) 、 威 胁 出 现 频率 分 级 准 
则 、 脆 弱 性 严重 程度 分 级 准则 和 风险 分 级 准则 。 所 有 这 些 风险 评估 准则 制定 完成 后 ， 在 风险 评估 准备 阶段 ( 即 在 实施 风险 评估 以 
前 ) ， 应 得 到 被 评估 方 的 一 致 认可 。 


5) 获得 风险 管理 决策 层 的 认可 、 批 准 和 支持 。 上 述 内 容 确 定 后 ， 形 成 的 《风险 评估 计划 书 》 和 《风险 评估 方案 》 需 得 到 信 
息 系统 和 信息 安全 风险 管理 决策 层 的 认可 、 批 准 和 支持 ， 并 传达 给 管理 层 和 技术 人 员 ; 对 相关 人 员 进 行 风险 评估 培训 ， 明 确 其 在 
风险 评估 中 的 任务 和 责任 。 


2. 风 险要 素 识别 


风险 要 素 识别 阶段 包括 识别 需要 保护 的 资产 并 赋值 、 识 别 面临 的 威胁 并 赋值 、 识 别 存在 的 脆弱 性 并 赋值 和 确认 已 有 的 安 全 措 
施 4 个 工作 过 程 。 风 险要 素 的 识别 方式 包括 文档 审查 、 人 员 访 谈 、 现 场 考察 和 使 用 辅助 工具 等 多 种 形式 ， 可 以 根据 实际 情况 灵活 
采用 和 结合 使 用 。 


(1) 资产 识别 与 赋值 


资产 识别 是 指 对 需要 保护 的 资产 、 系 统 和 进程 进行 识别 和 分 类 。 通 过 分 类 可 以 确定 资产 、 系 统 和 进程 的 优先 级 ， 并 估计 和 解决 
相关 风险 的 代价 。 

根据 风险 评估 准备 阶段 制定 的 资产 分 类 准则 ， 对 资产 进行 分 类 识别 ， 同 时 识别 资产 的 责任 人 、 保 管 者 和 用 户 。 资 产 分 类 的 方 
法 有 多 种 ， 在 实际 工作 中 ， 具 体 的 资产 分 类 方法 可 以 根据 具体 的 评估 对 象 和 要 求 ， 由 评估 者 灵活 把 握 。 常 见 的 一 种 分 类 方法 是 根 
据 资 产 的 表现 形式 ， 将 资产 分 为 数据 、 软 件 、 实 物 、 服 务 、 人 员 及 其 技能 和 无 形 资 产 6 大 类 ， 每 大 类 下 又 可 分 若干 小 类 ， 例 如 实 


物 类 资产 ， 又 可 分 为 服务 器 、 终 端 设备 、 网 络 设备 、 安 全 设备 和 存储 介质 等 小 类 。 


资产 分 类 识别 后 ， 对 资产 的 重要 属性 进行 赋值 。 保 密 性 赋值 是 根据 每 项 资产 在 保密 性 方面 的 要 求 ， 对 照 已 经 制定 的 资产 保密 
性 分 级 准则 ， 对 每 项 资产 进行 保密 性 赋值 。 完 整 性 赋值 是 根据 每 项 资产 在 完整 性 方面 的 要 求 ， 对 照 已 经 制定 的 资产 完整 性 分 级 准 
则 ， 对 每 项 资产 进行 完整 性 赋值 。 可 用 性 赋值 是 根据 每 项 资产 在 可 用 性 方面 的 要 求 ， 对 照 已 经 制定 的 资产 可 用 性 分 级 准则 ， 对 每 
项 资产 进行 可 用 性 赋值 。 


依据 资产 在 保密 性 、 完 整 性 和 可 用 性 上 的 赋值 等 级 ， 对 照 已 经 制定 的 资产 重要 性 综合 评定 方法 和 资产 重要 性 分 级 准则 ， 确 定 
每 项 资产 的 重要 性 等 级 ， 对 每 项 资产 进行 重要 性 赋值 ， 最 后 完成 《需要 保护 的 资产 清单 》。 根 据 前 面 确定 的 风险 分 析 方 法 ， 资 产 
重要 性 等 级 可 以 与 资产 价值 的 取 值 一 致 ， 以 方便 和 简化 风险 评估 工作 。 评 佑 者 可 根据 资产 重要 性 赋值 结果 ， 确 定 重要 资产 的 范 
围 ， 并 主要 围绕 重要 资产 进行 下 一 步 的 风险 评估 。 例 如 ， 可 以 规定 ， 资 产 重要 性 或 资产 价值 在 3 及 以 上 的 资产 为 重要 资产 ， 纳 入 
后 续 风险 评估 活动 的 范围 。 


(2) 威胁 识别 与 赋值 
威胁 识别 是 指 识别 与 每 项 资产 相关 的 可 能 威胁 和 漏洞 及 其 发 生 的 可 能 性 。 


威胁 可 以 通过 威胁 主体 、 资 源 、 动 机 和 途径 等 多 种 属性 来 进行 描述 。 造 成 威胁 的 因素 可 分 为 人 为 因素 和 环境 因素 。 根 据 威胁 
的 动机 ， 人 为 因素 又 可 分 为 恶意 和 非 恶 意 (过 失 ) 两 种 。 环 境 因素 包括 自然 界 不 可 抗 的 因素 和 其 他 物理 因素 。 威 胁 作用 形式 可 以 
是 对 信息 系统 直接 或 间接 的 攻击 ， 在 保密 性 、 完 整 性 和 可 用 性 等 方面 造成 损害 ;也 可 能 是 偶发 的 或 蓄意 的 事件 。 在 对 威胁 进行 分 
类 前 ， 应 考虑 威胁 的 来 源 。 组 织 可 参考 以 上 威胁 分 类 方法 ， 全 面 识别 各 项 重要 资产 所 面临 的 威胁 。 


判断 威胁 出 现 的 频率 是 威胁 赋值 的 重要 内 容 ， 评 估 者 应 根据 经 验 和 有 关 统 计数 据 进 行 判断 。 在 评估 中 ， 需 要 综合 考虑 以 下 三 
个 方面 ， 以 形成 在 某 种 评估 环境 中 各 种 威胁 出 现 的 频率 。 一 是 以 往 安全 事件 报告 中 出 现 过 的 威胁 及 其 频率 的 统计 ; 二 是 实际 环境 
中 通过 检测 工具 以 及 各 种 日 志 发 现 的 威胁 及 其 频率 的 统计 ; 三 是 近 一 两 年 来 国际 组 织 发 布 的 对 于 整个 社会 或 特定 行业 的 威胁 及 其 
频率 的 统计 ， 以 及 发 布 的 威胁 预警 。 可 以 对 威胁 出 现 的 频率 进行 等 级 化 处 理 ， 不 同等 级 分 别 代表 威胁 出 现 的 频率 的 高 低 。 基 于 以 
上 威胁 频率 的 判断 依据 ， 对 照 已 经 制定 的 威胁 出 现 频率 分 级 准则 ， 对 威胁 进行 赋值 ， 形 成 《面临 的 威胁 列表 》。 


(3) 脆弱 性 识别 与 赋值 


脆弱 性 识别 是 风险 评估 工作 中 最 重要 的 一 个 环节 。 脆 弱 性 识别 可 以 以 资产 为 核心 ， 针 对 每 一 项 需要 保护 的 资产 ， 识 别 可 能 被 
威胁 利用 的 弱点 ， 并 对 脆弱 性 的 严重 程度 进行 评估 ; 也 可 以 从 物理 、 网 络 、 系 统 和 应 用 等 层次 进行 识别 ， 然 后 与 资产 、 威 胁 对 应 


脆弱 性 是 资产 本 身 存 在 的 。 如 果 只 有 脆弱 性 或 是 只 有 威胁 ， 都 不 会 对 资产 造成 损害 。 威 胁 总 是 要 利用 资产 的 脆弱 性 才 可 能 造 
成 危害 。 资 产 的 脆弱 性 具有 隐蔽 性 ， 有 些 脆弱 性 只 有 在 一 定 条 件 和 环境 下 才能 显现 ， 这 是 脆弱 性 识别 中 最 为 困难 的 部 分 。 不 正确 
的 、 起 不 到 应 有 作用 的 或 没有 正确 实施 的 安全 措施 本 身 就 可 能 是 一 个 脆弱 性 。 


脆弱 性 识别 主要 从 技术 和 管理 两 个 方面 进行 ， 技 术 脆 弱 性 涉及 物理 层 、 网 络 层 、 系 统 层 和 应 用 层 等 各 个 层面 的 安全 问题 。 管 
理 脆弱 性 又 可 分 为 技术 管理 脆弱 性 和 组 织 管理 脆弱 性 两 方面 ， 前 者 与 具体 技术 活动 相关 ， 后 者 与 管理 环境 相关 。 脆 弱 性 识别 的 依 
据 可 以 是 国际 或 国家 安全 标准 ， 也 可 以 是 行业 规范 、 应 用 流程 的 安全 要 求 。 脆 弱 性 识别 所 采用 的 方法 主要 有 问卷 调查 、 工 具 检 
测 、 人 工 核查 、 文 档 查阅 和 渗透 性 测试 等 。 


对 应 用 在 不 同 环境 中 的 相同 的 弱点 ， 其 脆弱 性 严重 程度 是 不 同 的 ， 评 估 者 应 从 组 织 安 全 策略 的 角度 考虑 ， 判 断 资产 的 脆弱 性 
及 其 严重 程度 ， 同 时 还 应 考虑 信息 系统 所 采用 的 协议 、 应 用 流程 的 完备 与 否 、 与 其 他 网 络 的 互 连 等 因素 。 针 对 不 同 的 对 象 ， 其 脆 
弱 性 识别 的 具体 要 求 应 参照 不 同 的 技术 或 管理 标准 。 例 如 ， 对 物理 环境 的 脆弱 性 识别 应 参照 GB/T 9361《 计 算 机 场地 安全 要 求 》 


中 的 技术 指标 实施 ;对 操作 系统 、 数 据 库 应 参照 GB 17859《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》 中 的 技术 指标 实施 ， 对 网 
络 、 系 统 、 应 用 等 信息 技术 安全 性 的 脆弱 性 识别 应 参照 GB/T 18336《 信 息 技术 安全 性 评估 准则 》 中 的 技术 指标 实施 ;对 管理 脆 
弱 性 识别 方面 应 参照 GB/T 22080《 信 息 安全 管理 体系 ”要 求 》、GB/T 22081《 信 息 安全 管理 实用 规则 》 的 要 求 对 安全 管理 制度 
及 其 执行 情况 进行 检查 ， 发 现 管理 脆弱 性 和 不 足 。 可 参考 以 上 脆弱 性 分 类 方法 ， 全 面 识别 组 织 各 项 重要 资产 所 具有 的 脆弱 性 。 


可 以 根据 脆弱 性 对 资产 的 暴露 程度 、 技 术 实 现 的 难 易 程 度 和 流行 程度 等 ， 对 照 已 经 制定 的 脆弱 性 分 级 准则 ， 对 已 识别 的 脆弱 
性 的 严重 程度 进行 赋值 ， 形 成 《存在 的 脆弱 性 列表 》。 由 于 很 多 脆弱 性 反映 的 是 同一 方面 的 问题 ， 或 可 能 造成 相似 的 后 果 ， 赋 值 
时 应 综合 考虑 这 些 脆弱 性 ， 以 确定 这 一 方面 脆弱 性 的 严重 程度 。 对 某 个 资产 ， 其 技术 脆弱 性 的 严重 程度 还 受到 组 织 管理 脆弱 性 的 
影响 。 因 此 ， 资 产 的 脆弱 性 赋值 还 应 参考 技术 管理 和 组 织 管理 脆弱 性 的 严重 程度 。 


(4) 确认 已 有 的 安全 措施 


需要 依据 前 面 获得 的 报告 ， 来 确认 已 有 的 安全 措施 ， 包 括 技术 层面 (物理 平台 、 系 统 平 台 、 网 络 平台 和 应 用 平台 ) 的 安全 功 
能 、 组 织 层 面 (组 织 结构 、 岗 位 和 人 员 ) 的 安全 控制 和 管理 层面 (策略 、 规 章 和 制度 ) 的 安全 对 策 ， 形 成 《已 有 安全 措施 列 
表 》。 


在 识别 脆弱 性 的 同时 ， 评 估 人 员 应 对 已 采取 的 安全 措施 的 有 效 性 进行 评估 ， 评 佑 其 是 否 真正 地 降低 了 系统 的 脆弱 性 ， 抵 御 了 
威胁 。 对 有 效 的 安全 措施 继续 保持 ， 以 避免 不 必要 的 工作 和 费用 ， 防 止 安全 措施 的 重复 实施 。 对 确认 为 不 适当 的 安全 措施 应 核实 
是 否 应 被 取消 或 对 其 进行 修正 ， 或 用 更 合适 的 安全 措施 替代 。 从 功能 看 ， 安 全 措施 主要 有 预防 性 、 检 测 性 和 纠正 性 3 种 。 


3. 风 险 分 析 


在 完成 了 资产 、 威 胁 和 脆弱 性 3 个 风险 基本 要 素 的 识别 后 ， 进 入 风险 分 析 阶 段 。 实 施 风险 分 析 需 要 先 确定 使 用 哪 种 风险 分 析 
方法 、 了 解 风 险 计算 原理 、 确 定 具体 的 风险 计算 方法 。 


在 确定 风险 分 析 方 法 后 ， 将 采用 已 确定 的 风险 分 析 方 法 与 工具 ， 来 分 析 威 胁 利用 脆弱 性 导致 安全 事件 发 生 的 可 能 性 ， 根 据 资 
产 价值 及 脆弱 性 的 严重 程度 ， 最 终 判断 安全 事件 造成 的 损失 对 组 织 的 影响 ， 即 “风险 值 ”。 风 险 计算 原理 ， 可 以 用 下 面 的 范式 形 
式 化 地 加 以 说 明 。 


风险 值 =R (A, T, V) =R (L (T, V) , F (1,, V,) ) 


R 表 示 安 全 风险 计算 函数 ; A 表 示 资 产 ; T 表 示威 胁 ; V 表 示 脆 弱 性 ; [表示 威胁 利用 资产 的 脆弱 性 导致 安全 事件 的 可 能 性 ; F 
表示 安全 事件 发 生 后 造成 的 损失 ;1a 表示 安全 事件 所 作用 的 资产 价值 ;Va 表示 脆弱 性 严重 程度 。 


在 实际 的 风险 评估 活动 中 ， 具 体 的 风险 计算 方法 ， 应 该 是 对 以 上 风险 相关 要 素 的 某 种 具体 运算 ， 目前， 常用 的 风险 计算 方法 
是 矩阵 法 和 相 乘 法 。 在 实际 应 用 中 ， 可 以 将 矩阵 法 和 相 乘法 结合 使 用 。 


和 矩阵 法 主要 适用 于 由 两 个 要 素 值 确定 一 个 要 素 值 的 情形 。 其 特点 在 于 通过 构造 两 两 要 素 计 算 和 矩阵 ， 可 以 清晰 罗列 要 素 的 变化 
趋势 ， 具 备 良 好 灵活 性 。 因 此 ， 和 矩阵 法 在 风险 分 析 中 得 到 广泛 采用 。 在 矩 阵 法 风险 值 计 算 中 ， 通 常 需要 对 由 两 个 要 素 确 定 的 另 一 
个 要 素 值 进行 计算 。 例 如 ， 由 威胁 和 脆弱 性 确定 安全 事件 发 生 可 能 性 值 、 由 资产 和 脆弱 性 确定 安全 事件 的 损失 值 等 ， 同 时 需要 整 
体 掌握 风险 值 的 确定 。 


相 乘 法 主要 用 于 由 两 个 或 多 个 要 素 值 确 定 一 个 要 素 值 的 情形 。 即 z=f (X，y) ， 阅 数 { 的 值 z 可 以 采用 相 乘 法 取得 。 相 乘法 的 
原理 是 : 当 f 为 增 量 函 数 时 ， 可 以 直接 相 乘 ， 也 可 以 相 乘 后 开 方 等 ， 例 如 ，z =f (X，y) =xxy 或 z=f (x, y) = ,xy 等 。 相 乘 
法 提供 一 种 定量 的 计算 方法 ， 可 直接 将 两 个 要 素 的 值 相 乘 得 到 另 一 个 要 素 的 值 。 相 乘法 的 特点 是 简单 明确 ， 直 接 按照 统一 公式 计 
算 ， 即 可 得 到 所 需 结果 。 因 此 相 乘 法 在 风险 分 析 中 也 得 到 广泛 采用 。 在 相 乘法 风险 值 计算 中 ， 通 常 也 需要 对 由 两 个 要 素 确 定 的 另 


一 个 要 素 值 进行 计算 ， 例 如 ， 由 威胁 和 脆弱 性 确定 安全 事件 发 生 可 能 性 值 、 由 资产 和 脆弱 性 确定 安全 事件 的 损失 值 。 
风险 分 析 阶 段 包括 分 析 安 全 事件 发 生 的 可 能 性 、 分 析 安 全 事件 造成 的 损失 和 实施 风险 计算 3 部 分 。 


1) 分 析 安 全 事件 发 生 的 可 能 性 ， 需 要 依据 上 一 过 程 输出 的 《面临 的 威胁 列表 》 和 《存在 的 脆弱 性 列表 》， 根 据 威胁 属性 
(威胁 友 生 频率 、 威 胁 能 力 程 度 等 ) 及 脆弱 性 属性 (脆弱 性 被 利用 的 难 易 程度 、 脆 弱 性 的 严重 程度 等 ) ， 并 根据 已 经 确定 的 安全 
事件 发 生 的 可 能 性 的 具体 计算 方法 ， 计 算 威 胁 利用 脆弱 性 导致 安全 事件 发 生 的 可 能 性 。 作 为 示例 ， 此 处 采用 前 面 已 经 定义 的 计算 
方法 : 安全 事件 发 生 的 可 能 性 L=TxVa， 即 等 于 威胁 出 现 的 频率 乘 以 脆弱 性 的 严重 程度 。 


2) 分 析 安 全 事件 造成 的 损失 ， 需 要 依据 《需要 保护 的 资产 清单 》 和 《存在 的 脆弱 性 列表 》， 根 据 资 产 属性 (资产 重要 性 程 
度 等 ) 及 脆弱 性 属性 (脆弱 性 被 利用 的 难 易 程度 、 脆 弱 性 的 严重 程度 等 ) ， 并 根据 已 经 确定 的 安全 事件 造成 的 损失 的 具体 计算 方 
法 ， 计 算 安全 事件 一 旦 发 生 后 造成 的 损失 。 作 为 示例 ， 此 处 采用 前 面 已 经 定义 的 计算 方法 : 安全 事件 造成 的 损失 F = 1axVa， 即 
等 于 资产 价值 乘 以 脆弱 性 的 严重 程度 。 


部 分 安全 事件 的 发 生 造 成 的 损失 不 仅仅 是 针对 该 资产 本 身 ， 还 可 能 影响 业务 的 连续 性 ; 不 同安 全 事件 的 发 生 对 组 织 的 影响 也 
是 不 一 样 的 。 在 计算 某 个 安全 事件 的 损失 时 ， 应 将 对 组 织 的 影响 考虑 在 内 。 部 分 安全 事件 造成 的 损失 的 判断 还 应 参照 安全 事件 发 
生 可 能 性 的 结果 ， 对 发 生 可 能 性 极 小 的 安全 事件 (如 处 于 非 地 震 带 的 地 震 威胁 、 在 采取 完备 供电 措施 状况 下 的 电力 故障 威胁 等 ) 
可 以 不 计算 其 损失 。 


3) 实施 风险 计算 ， 需 要 依据 计算 出 的 安全 事件 的 可 能 性 以 及 安全 事件 造成 的 损失 ， 并 根据 已 经 制定 的 风险 的 具体 计算 方 
法 ， 来 实施 风险 计算 并 形成 《风险 计算 报告 》。 作 为 示例 ， 此 处 采用 前 面 已 经 定义 的 计算 方法 : 风险 值 =LxF， 即 等 于 安全 事件 
发 生 的 可 能 性 乘 以 安全 事件 造成 的 损失 。 


4. 风 险 结果 判定 
风险 结果 判定 阶段 主要 包括 以 下 两 部 分 。 


一 是 评估 风险 的 等 级 ， 需 要 依据 《风险 计算 报告 》， 根 据 已 经 制定 的 风险 分 级 准则 ， 对 所 有 风险 计算 结果 进行 等 级 处 理 ， 形 
成 《风险 程度 等 级 列表 》。 风 险 等 级 处 理 的 目的 是 为 在 风险 管理 过 程 中 对 不 同 风险 进行 直观 比较 ， 以 确定 组 织 安全 策略 。 


二 是 综合 评估 风险 状况 ， 需 要 汇总 各 项 输出 文档 和 《风险 程度 等 级 列表 》， 综 合 评 价 风险 状况 ， 形 成 《风险 评估 报告 》， 该 
报告 是 对 整个 风险 评估 过程 和 结果 的 总 结 ， 应 详细 说 明 被 评估 对 象 、 风 险 评 佑 方法、 资产 、 威 胁 、 脆 弱 性 的 识别 结果 、 风 险 分 
析 、 风 险 统计 和 结论 等 内 容 。 


4.3.4 风险 评估 工具 


风险 评估 工具 是 风险 评估 的 辅助 手段 ， 是 保证 风险 评估 结果 可 信 度 的 一 个 重要 因素 。 风 险 评估 工具 的 使 用 不 但 在 一 定 程度 上 
解决 了 手动 评估 的 局 限 性 ， 最 主要 的 是 它 能 够 将 专家 知识 进行 集中 ， 使 专家 的 经 验 知识 被 广泛 地 应 用 。 根 据 在 风险 评估 过 程 中 的 
主要 任务 和 作用 原理 的 不 同 ， 风 险 评估 工具 可 以 分 成 风险 评估 与 管理 工具 、 系 统 基础 平台 风险 评估 工具 和 风险 评估 辅助 工具 3 


类 。 


风险 评估 与 管理 工具 是 一 套 集成 了 风险 评估 各 类 知识 和 判 据 的 管理 信息 系统 ， 以 规范 风险 评估 的 过 程 和 操作 方法 ; 或 者 是 用 
于 收集 评估 所 需要 的 数据 和 资料 ， 基 于 专家 经 验 ， 对 输入 /输出 进行 模型 分 析 。 根 据 实现 方法 的 不 同 ， 风 险 评估 与 管理 工具 又 可 
以 分 为 3 类 。 基 于 信息 安全 标准 的 风险 评估 与 管理 工具 ， 如 基于 NIST SP 800 一 30 或 1SO 27005 的 内 容 开发 出 的 评估 工具 ， 用 以 


完成 遵循 标准 或 指南 的 风险 评估 过 程 ; 基于 知识 的 风险 评估 与 管理 工具 ， 这 类 工具 并 不 仅仅 遵循 某 个 单一 的 标准 或 指南 ， 而 是 将 
各 种 风险 分 析 方 法 进行 综合 ， 并 结合 实践 经 验 ， 形 成 风险 评估 知识 库 ， 以 此 为 基础 完成 综合 评估 ;基于 模型 的 风险 评估 与 管理 工 
具 ， 这 类 工具 是 在 对 系统 各 组 成 部 分 、 安 全 要 素 充分 研究 的 基础 上 ， 对 上 典型 系统 的 资产 、 威 胁 和 脆弱 性 建立 量化 或 半 量 化 的 模 
型 ， 根 据 采集 信息 的 输入 ， 得 到 评价 的 结果 。 


系统 基础 平台 风险 评估 工具 主要 用 于 对 信息 系统 的 主要 部 件 (如 操作 系统 、 数 据 库 系 统 和 网 络 设备 等 ) 的 脆弱 性 进行 分 析 ， 
或 实施 基于 脆弱 性 的 模拟 攻击 。 此 类 工具 包括 脆弱 性 扫描 工具 和 渗透 性 测试 工具 。 脆 弱 性 扫描 工具 是 目前 应 用 最 广泛 的 风险 评估 
工具 ， 主 要 完成 操作 系统 、 数 据 库 系统 、 网 络 协 议和 网 络 服务 等 的 安全 脆弱 性 检测 功能 。 常 见 的 脆弱 性 扫描 工具 有 以 下 几 种 类 
型 : 基于 网 络 的 扫描 器 、 基 于 主机 的 扫描 器 、 分 布 式 网 络 扫 描 器 和 数据 库 脆弱 性 扫描 器 。 渗 透 性 测试 工具 是 根据 脆弱 性 扫描 工具 
扫描 的 结果 进行 模拟 攻击 测试 ， 判 断 被 非法 访问 者 利用 的 可 能 性 。 这 类 工具 通常 包括 黑客 工具 、 脚 本 文件 。 通 常 渗透 性 测试 工具 
与 脆弱 性 扫描 工具 一 起 使 用 ， 可 能 会 对 被 评估 系统 的 运行 造成 一 定 影响 。 


风险 评估 辅助 工具 则 实现 对 数据 的 采集 、 现 状 分 析 和 趋势 分 析 等 单项 功能 ,为 风险 评估 各 要 素 的 赋值 、 定 级 提供 依据 。 常 见 
的 这 类 工具 包括 检查 列表 、 入 侵 检测 系统 、 安 全 审计 工具 、 拓 扑 发 现 工 具 和 资产 信息 收集 系统 ， 以 及 用 于 评估 过 程 参考 的 评 佑 指 
标 库 、 知 识 库 、 漏 洞 库 、 算 法 库 和 模型 库 等 。 


六 
uk 
阅 


1. 进 行 信息 安全 风险 管理 应 遵从 哪些 原则 ? 

2. 如 何 理解 信息 安全 风险 管理 与 信息 系统 生命 周期 及 信息 安全 目标 之 间 的 关系 ? 

3. 为 使 信息 安全 风险 管理 有 效 ， 信 息 安 全 风险 管理 应 包括 哪些 过 程 ? 这 些 过 程 应 包括 哪些 主要 活动 ? 
4. 在 信息 系统 生命 周期 的 每 个 阶段 ， 有 哪些 安全 目标 ? 


5. 结 合 实际 工作 思考 一 下 ， 自 己 单位 以 前 的 信息 安全 风险 评估 活动 质量 如 何 ? 哪些 过 程 和 活动 对 于 确保 信息 安全 风险 评估 活 
动 的 质量 特别 重要 ? 


第 5 章 ”信息 安全 管理 体系 


阅读 提示 信息 安全 管理 体系 是 广泛 使 用 的 信息 安全 管理 方法 。 本 章 主要 介绍 ISMS 相 关 基 础 知识 、ISMS 建 设 过 程 和 11 个 常 
规 信 息 安 全 控制 措施 域 中 9 个 域 所 包含 的 控制 目标 ， 以 及 为 实现 各 个 控制 目标 而 需要 落实 的 措施 ， 使 读者 加 强 对 包括 ISMS 的 建 
立 、 实 施 和 运行 、 监 视 和 评审 、 保 持 和 改进 等 ISMS 建 设 的 4 个 规范 过 程 的 理解 ， 掌 握 每 一 过 程 所 需 的 主要 活动 ， 从 而 能 够 遵循 这 
一 规范 过 程 建立 满足 组 织 业务 需求 的 ISMS; 理解 各 项 控制 措施 的 主要 控制 方式 ， 结 合 组 织 的 业务 特点 和 风险 评估 结果 选择 并 确 


5.1 ”信息 安全 管理 体系 基础 


随 着 信息 安全 涉及 的 范围 越 来 越 广 ， 各 个 组 织 对 信息 安全 管理 的 需求 越 来 越 迫 切 ， 开 始 尝 试 使 用 信息 安全 管理 体系 来 实施 组 
织 的 信息 安全 管理 ， 将 风险 控制 在 可 接受 的 范围 内 ,减少 信息 安全 事件 的 发 生 ， 保 障 业务 安全 运营 。 


实施 信息 安全 管理 体系 ， 组 织 的 管理 者 首先 应 了 解 并 履行 相应 的 管理 职责 ， 为 实施 信息 安全 管理 体系 提供 足够 的 资源 。 只 有 
管理 者 对 信息 安全 提出 明确 的 要 求 ， 表 现 出 足够 的 重视 和 支持 ,组织 中 其 他 人 员 才 会 认识 到 信息 安全 的 重要 性 ， 并 在 工作 中 遵守 
相关 安全 要 求 。 因 此 ， 管 理 者 率先 履行 相应 的 信息 安全 管理 职责 并 提供 足够 的 资源 ， 是 组 织 成 功 实施 信息 安全 管理 体系 的 根本 保 


障 o 





信息 安全 管理 体系 的 成 功 实施 ， 首 先 需 要 管理 者 承担 并 履行 相应 的 管理 职责 。 管 理 者 切实 履行 其 管理 职责 ， 会 对 ISMS 建 设 
产生 推动 作用 。 这 一 推动 作用 必 不 可 少 ， 没 有 这 种 推动 ，ISMS 不 可 能 成 功 实施 。 第 一 ， 高 级 管理 层 应 制定 并 颁布 信息 安全 方 
针 ， 为 组 织 的 1SM 建设 指明 方向 并 提供 总 体 纲领 ， 明 确 总 体 要 求 ; 第 二 ， 管 理 者 应 确保 组 织 的 ISMS 目 标 和 相应 的 计划 得 以 制 
定 ， 目 标 应 明确 、 可 度量 ， 计 划 应 具体 、 可 实施 ; 第 三 ， 管 理 者 应 建立 健全 信息 安全 角色 ， 明 确 每 个 角色 的 职责 ， 并 将 角色 落实 
到 人 ; 第 四 ， 管 理 者 应 向 组 织 传达 信息 安全 的 重要 性 ， 传 达 满 足 信息 安全 要 求 、 达 成 信息 安全 目标 、 符 合 信息 安全 方针 、 履 行 法 
律 责任 和 持续 改进 的 重要 性 ， 传 达 的 范围 既 包 括 全 体 员工 ， 也 包括 客户 、 合 作 伙伴 和 供应 商 等 外 部 各 方 ; 第 五 ， 管 理 者 应 全 面 了 
解 组 织 所 面临 的 信息 安全 风险 ， 决 定 风险 可 接受 级 别 和 风险 可 接受 准则 ， 并 确认 接受 所 有 残余 风险 ; 第 六 ， 管 理 者 应 确保 组 织 的 
内 审 小 组 定期 执行 ISMS 内 部 审核 ;第 七 ， 管 理 者 应 亲自 主导 ISMS 管 理 评审 的 定期 实施 。 


管理 者 应 为 ISMS 的 建设 提供 足够 的 资源 ， 包 括 足 够 的 资金 、 能 胜任 相关 工作 的 人 员 等 。 管 理 者 提供 足够 的 资源 是 对 ISMS 建 
设 实质 性 的 支持 。 如 果 没 有 这 种 资源 的 支持 ， 各 项 信息 安全 工作 将 无 法 进行 ， 安 全 控制 措施 也 难以 落实 ，ISMS 建 设 是 不 可 能 成 
功 实 施 的 。 管 理 者 应 确保 承担 ISMS 职 责 的 人 员 具 备 相关 能 力 ， 可 以 聘用 具有 相应 能 力 的 人 员 ， 也 可 以 为 能 力 不 足 的 人 员 提 供 相 
应 的 培训 |。 


5.1.2 “文档 控制 


层次 化 的 文档 是 ISMS 建 设 的 直接 体现 ， 也 是 ISMS 建 设 的 成 果 之 一 。 文 档 体系 建立 的 依据 是 风险 评估 的 结果 。 为 便于 维护 和 
管理 ， 通 常 将 ISMS 的 文档 结构 规划 为 4 层 金字 塔 结构 ， 如 图 5-1 所 示 ， 位 于 顶层 的 文档 是 一 级 文件 ， 通 常 包括 《信息 安全 方 
针 》、《 信 息 安全 管理 手册 》 等 高 层 文件 ， 二 级 文档 依据 一 级 文件 而 制定 ， 通 常 包括 信息 安全 相关 规章 、 制 度 、 规 定 和 策略 等 要 
求 类 文件 ， 如 《人 力 资源 安全 管理 规定 》、《 访 问 控制 策略 》 等 ; 三 级 文档 依据 二 级 文件 来 制定 ， 用 于 支持 二 级 文件 要 求 的 落 
实 ， 通常 是 信息 安全 相关 规程 、 作 业 指导 书 、 操 作 指 南 、 操 作 规 范 和 实施 标准 等 程序 类 文件 ， 如 《数据 备份 与 恢复 步骤 》、《 病 
毒 防范 指南 》 等 ; 四 级 文档 依据 前 三 级 文档 的 要 求 产生 ， 包 括 各 种 日 志 、 计 划 、 报 告 、 录 音 录 像 等 记录 ， 如 《XX 业务 系统 日 
志 》、《ISMS 内 部 审核 计划 》、《 风 险 评估 报告 》 等 。ISMS 的 一 、 二 、 三 级 文件 是 信息 安全 管理 体系 的 一 个 关键 要 素 ， 属 于 一 
个 组 织 内 部 的 “法 ”， 它 是 组 织 的 实际 工作 标准 ， 也 是 ISMS 审 核 (包括 内 审 和 外 审 ) 的 依据 ， 要 求 相关 部 门 及 人 员 贯 彻 执行 ; 
四 级 记录 是 前 三 级 文件 执行 情况 的 客观 证 据 ， 为 各 项 控制 措施 是 否 有 效 实 施 、ISMS 是 否 有 效 运行 提供 客观 证 据 。 


一 级 文件 









管理 制度 、 程 序 、 策 略 文件 等 \ 二 级 文件 









操作 规范 、 规 程 、 业 务 指导 书 、 模 板 文件 等 \\ 三 级 文件 


各 种 计划 、 表 格 、 报 告 、 运 行 /检查 记录 、 日 志文 件 等 记录 





图 5-1 ISMS 的 文档 层次 结构 


组 织 对 上 述 ISMS 一 、 二 、 三 级 文件 应 予以 保护 和 控制 。 对 这 些 文件 的 保护 和 控制 要 求 应 编制 形成 一 个 文件 ， 如 《文件 控制 
规定 》， 详 细 描 述 对 文件 进行 保护 和 控制 的 具体 内 容 。 通 常 对 文件 的 保护 和 控制 ， 包 括 以 下 方面 : 文件 在 发 布 以 前 ， 应 得 到 相应 
级 别管 理 层 的 批准 ; 定期 对 文件 进行 评审 、 更 新 并 再 次 得 到 批准 ， 当 发 生 重大 变化 或 重大 信息 安全 事件 时 还 应 及 时 对 文件 实行 评 
审 与 修订 ; 对 文件 的 修订 和 修订 状态 、 版 本 进行 标识 。 例 如 ， 在 每 份 文件 的 首页 ， 加 上 文件 修订 跟踪 表 ， 以 显示 每 一 版 本 的 版 本 
号 、 发 布 日 期 、 编写 人 、 审 批 人 和 主要 修订 等 内 容 ; 确保 员工 使 用 文件 的 最 新 版 本 ; 标明 每 份 文件 的 密级 和 分 发 范围 。 


组 织 的 相关 部 门 及 人 员 应 按 1SMS 文 件 要 求生 成 并 保存 各 种 记录 ， 如 各 种 计划 、 报 告 ， 以 及 各 系统 的 运行 日 志 、 监 控 录 像 
等 。 同 时 ， 应 对 这 些 记录 进行 保护 和 控制 。 对 这 些 记录 的 保护 和 控制 要 求 ， 也 应 编制 形成 一 个 文件 ， 如 《记录 控制 规定 》， 描 述 
对 各 种 记录 进行 保护 和 控制 的 具体 内 容 。 记 录 的 保护 和 控制 包括 以 下 方面 : 记录 的 保存 环境 要 求 、 保 存 期 限 要 求 、 访 问 控制 要 
求 、 检 索要 求 等 。 例 如 ， 支 持 按 特定 条 件 进行 查询 和 统计 ， 特 别 是 在 记录 数量 比较 大 时 ， 这 种 按 特定 条 件 进行 查询 、 统 计 的 功能 
显得 尤其 必要 ， 否 则 这 些 记录 将 无 法 使 用 。 


5.1.3 ”内 部 审核 和 管理 评审 


ISMS 的 内 部 审核 和 管理 评审 是 两 项 重要 的 管理 活动 ， 二 者 既 有 相似 之 处 ， 又 有 明显 区 别 。 相 似 之 处 是 都 能 够 促进 ISMS 的 持 
续 改进 ， 不 同 之 处 体现 在 目的 、 实 施主 体 、 实 施 对 象 和 实施 方式 等 方面 。 


内 部 审核 ， 也 称 第 一 方 审核 ， 是 用 于 内 部 目的 、 由 组 织 自己 或 以 组 织 的 名 义 所 进行 的 审核 。 内 部 审核 是 ISMS 能 够 进行 持续 
改进 的 重要 动力 之 一 。 组 织 应 按照 既定 的 周期 实施 ISMS 内 部 审核 ， 例 如 每 半年 一 次 。 内 部 审核 的 目的 是 确定 ISMS 的 控制 目标 、 
控制 措施 是 否 符 合 相 关 标 准 和 法 律 、 法 规 以 及 合同 条 款 的 要 求 ; 各 项 控制 措施 是 否 得 到 有 效 的 实施 和 保持 ; 员工 的 业务 行为 是 否 
符合 组 织 ISMS 文 件 所 规定 的 要 求 。 内 部 审核 的 实施 主体 是 组 织 的 ISMS 内 审 小 组 ， 实 施 对 象 主要 是 各 种 记录 以 及 员工 的 实际 业务 
活动 。 内 部 审核 的 实施 方式 包括 文件 审核 和 现场 审核 ， 文 件 审核 主要 是 通过 对 ISMS 文 件 的 调 阅 和 记录 的 查看 来 查找 ISMS 运 营 的 
符合 项 和 不 符合 项 的 客观 证 据 ， 现 场 审核 主要 是 在 员工 的 工作 现场 通过 查看 实际 情况 、 要 求 演示 等 方式 来 查找 ISMS 运 营 的 符合 
项 和 不 符合 项 的 客观 证 据 。 内 部 审核 的 审核 准则 包括 相关 标准 、 法 律 法 规 、 合 同 条 款 以 及 信息 安全 方针 等 ISMS 文 件 。 审 核 员 的 
选择 和 审核 的 实施 应 确保 审核 过 程 的 客观 性 和 公正 性 ， 这 体现 在 两 个 方面 : 一 是 审核 员 必须 经 过 培训 ， 获 得 内 部 审核 员 资格 证 书 
或 更 高 级 别 的 审核 员 资格 证 书 ， 表 明 其 有 资格 有 能 力 实施 内 部 审核 ; 二 是 审核 员 不 应 审核 自己 的 工作 ， 以 及 与 自己 有 关联 的 工 
作 。 内 审 小 组 最 后 应 提交 《1ISMS 内 部 审核 报告 》 及 不 符合 项 列表 ， 受 审核 区 域 的 管理 者 应 确保 及 时 采取 措施 ， 以 消除 已 发 现 的 
不 符合 项 及 其 产生 的 原因 ， 防 止 相同 的 不 符合 项 再 次 发 生 。 


管理 评审 也 是 ISMS 能 够 进行 持续 改进 的 重要 动力 之 一 。 组 织 应 按照 既定 的 周期 实施 ISMS 管 理 评审 ， 至 少 每 年 一 次 。 管 理 评 
审 的 目的 是 确保 组 织 的 ISMS 持 续 具备 适宜 性 、 充 分 性 和 有 效 性 。 管 理 评审 的 实施 主体 是 组 织 的 高 级 管理 层 ， 例 如 信息 安全 管理 
委员 会 或 信息 安全 领导 小 组 。 管 理 评审 的 实施 对 象 主要 是 1SMS 文 件 体系 和 各 种 管理 评审 输入 材料 ， 输 入 材料 包括 1SMS 审 核 和 评 
审 的 结果 、 相 关 方 的 反馈 和 有 效 性 测量 结果 等 内 容 。 可 以 看 出 ， 在 内 部 审核 中 作为 审核 准则 的 信息 安全 方针 、 信 息 安全 目标 和 其 
他 ISMS 文 件 ， 在 管理 评审 中 却 是 被 评审 的 对 象 。 管 理 评审 实施 方式 最 常见 的 是 召开 管理 评审 会 议 ， 由 组 织 的 高 级 管理 层 杀 自主 
导 实 施 。 管 理 评审 活动 应 该 形成 管理 评审 输出 ， 即 高 级 管理 层 对 ISMS 的 相关 决策 ， 以 不 断 改进 ISMS。 





5.1.4 ”信息 安全 管理 体系 认证 


ISMS 认 证 ， 是 由 ISMS 认 证 机 构 依据 ISO/AEC 27001 对 申请 组 织 的 ISMS 进 行 审核 ， 并 向 通过 审核 的 申请 组 织 颁 发 ISMS 认 证 
证 书 的 活动 。 认 证 机 构 是 指 那 些 从 事 对 产品 (服务 ) 、 过 程 、 体 系 或 人 员 是 否 符合 规定 要 求实 施 认证 活动 的 合格 评定 机 构 。 在 我 
国 , 根据 《中 华人 民 共 和 国 认证 认可 条 例 》 第 九条 规定 ，“ 设 立 认证 机 构 ， 应 当 经 国务 院 认 证 认可 监督 管理 部 门 批准 ， 并 依法 取 
得 法 人 资格 后 ， 方 可 从 事 批准 范围 内 的 认证 活动 。 未 经 批准 ， 任 何 单位 和 个 人 不 得 从 事 认 证 活动 。” 我 国 的 ISMS 认 证 机 构 须 经 
中 国 合格 评定 国家 认可 委员 会 (China National Accreditation Service for Conformity Assessment，CNAS) 认可 ， 并 经 国 
家 认证 认可 监督 管理 委员 会 (Certification and Accreditation Administration of the People' s Republic of 


China，CNCA) 批准 后 ,才能 开展 ISMS 认 证 业务 。 


同 其 他 管理 体系 (例如 ISO 9001 质 量 管理 体系 等 ) 认证 一 样 ，ISMS 认 证 是 证 明 一 个 组 织 的 信息 安全 水 平 达到 并 满足 ISMS 
国际 /国家 标准 要 求 的 有 效 途 径 。 通 过 ISMS 认 证 ， 获 取 认 证 证 书 ， 对 于 ISMS 建 设 单位 而 言 ， 可 以 作为 对 ISMS 建 设 工作 的 一 种 验 
收 手段 ， 表 明 对 其 体系 建立 、 实 施 和 运行 、 监 视 和 评审 以 及 保持 和 改进 等 活动 的 认可 ， 能 从 第 三 方 客 观 公 正 的 角度 ， 发 现 ISMS 
存在 的 不 足 和 问题 。 同 时 ， 它 也 是 对 信息 安全 工作 的 一 种 宣传 手段 ， 有 助 于 增强 对 该 组 织 信息 安全 的 信任 和 信心 ， 并 在 外 部 驱动 
的 作用 下 从 体系 的 角度 完善 各 种 信息 安全 策略 ,促进 组 织 ISMS 持 续 改进 。 


ISMS 认 证 依据 其 业务 特点 ， 已 经 形成 一 整套 评价 流程 和 要 求 ， 体 现 了 第 三 方 公正 评价 的 共性 特点 。ISMS 认 证 通常 包含 一 组 
审核 ， 包 括 初 次 认证 审核 、 年 度 监 督 审 核 和 复审 。ISMS 认 证 证 书 有 效 期 一 般 为 三 年 ， 颁 发 认证 证 书后 的 第 一 、 第 二 年 需要 进行 
年 度 监 督 审 核 ， 第 三 年 进行 复审 ， 复 审 通 过 后 重新 颁发 认证 证 书 。 


5.2 ”信息 安全 管理 体系 建设 


进行 1SM SS 建设 ， 实 施 ISMS， 是 一 个 组 织 的 战略 性 举措 。 组 织 应 基于 其 整体 的 业务 风险 环境 来 规划 与 建立 、 实 施 和 运行 、 监 
视 和 评审 、 保 持 和 改进 文档 化 的 ISMS。1SMS 建 设 的 过 程 ， 应 基于 通用 的 PDCA 过 程 改 进 模型 。 若 一 个 组 织 声称 自己 的 ISM S 符 
合 ISO/IEC 27001 或 GB/T 22080 标 准 要求 ， 则 需 实施 以 下 ISM 建设 阶段 的 各 项 工作 。 


5.2.1 规划 与 建立 JISMS 


ISMS 的 规划 与 建立 ， 对 应 PDCA 过 程 改进 模型 的 规划 阶段 。 在 此 阶段 ， 组 织 应 定义 ISMS 范 围 和 边界 、 制 定 ISMS 方 针 、 实 
施 风险 评估 等 工作 ， 还 包含 部 分 风险 处 理 的 工作 。 


(1) 定义 ISMS 的 范围 和 边界 


ISMS 范 围 的 大 小 影响 一 个 组 织 ISMS 建 设 的 工作 量 ， 所 以 必须 首先 明确 ， 这 是 后 续 工 作 的 基础 。ISMS 的 范围 ， 可 以 是 整个 
组 织 ， 也 可 以 是 组 织 的 一 个 或 几 个 部 门 。 确 定 ISMS 范 围 ， 应 同时 确定 范围 的 清晰 边界 ， 以 及 识别 边界 上 内 部 与 外 部 进行 通信 / 交 
互 的 接口 。 一 旦 范围 确定 ， 应 将 ISMS 范 围 清晰 地 描述 出 来 并 形成 文件 ， 例 如 《ISMS 范 围 说 明 书 》。 通 常 ，ISMS 范 围 可 以 从 4 个 
方面 来 描述 : 组 织 结构 范围 、 业 务 范围 、 信 息 系统 范围 和 物理 范围 。 


(2) 制定 ISM S 方 针 


ISMS 范 围 确 定 以 后 ， 就 可 以 制定 ISMS 方 针 。 应 根据 ISMS 范 围 内 组 织 的 业务 、 组 织 架 构 、 位 置 、 资 产 和 技术 等 方面 的 特点 
来 制定 ISMS 方 针 。1SMS 方 针 应 包括 信息 安全 总 体 目标 、 方 向 和 原则 ， 体 现 出 在 组 织 的 战略 性 风险 管理 环境 下 建设 SMS 的 思 
想 ， 建 立 起 风险 评价 的 准则 ， 并 获得 高 级 管理 层 的 批准 。ISMS 方 针 应 简单 明了 、 通 俗 易 懂 ， 不 应 包含 太 具 体 的 内 容 。ISMS 方 针 
应 以 书面 形式 ， 发 放 到 组 织 内 所 有 员工 手中 ， 并 要 对 所 有 相关 员工 进行 培训 ， 对 负 有 信息 安全 特殊 责任 的 专员 要 进行 特殊 培训 ， 
使 信息 安全 方针 真正 落实 到 实际 工作 中 。 


(3) 确定 风险 评估 方法 

应 依据 信息 系统 的 复杂 性 、 业 务 特点 和 受 保护 资产 的 重要 /敏感 程度 来 选择 适宜 的 风险 评估 方法 。 
(4) 实施 风险 评估 

风险 评估 的 实施 ， 包 括 识 别 风险 、 分 析 和 评价 风险 等 过 程 。 

(5) 选择 、 评 价 和 确定 风险 处 理 方式 、 处 理 目标 和 处 理 措施 


风险 处 理 的 方式 有 4 种 : 降低 风险 、 规 避风 险 、 转 移 风 险 和 接受 风险 。 识 别 出 的 每 一 项 风险 应 分 别 评价 采取 每 一 种 处 理 方式 
的 利弊 ， 然 后 确定 风险 处 理 方式 以 及 具体 的 处 理 目标 和 处 理 措施 。 


(6) 获得 管理 者 对 建议 的 残余 风险 的 批准 


风险 处 理 措施 确定 以 后 ， 应 编制 详细 的 残余 风险 清单 ， 包 含 每 一 项 残余 风险 的 级 别 。 使 管理 者 全 面 理解 组 织 的 残余 风险 ， 并 
得 到 管理 者 对 残余 风险 的 书面 批准 ， 表 明 管 理 者 已 经 确认 接受 残余 风险 。 


(7) 获得 管理 者 对 实施 和 运行 ISMS 的 授权 


完成 风险 评估 并 确定 风险 处 理 措施 后 ， 信 息 安全 的 需求 已 经 明确 ， 建 六 SMS 的 基础 工作 已 经 完成 ， 接 下 来 应 实施 风险 处 理 
措施 。 实 施 和 运行 ISMS， 需 要 获得 管理 者 的 授权 。 没 有 管理 者 的 授权 ，ISMS 建 设 的 各 项 工作 无 法 顺利 推进 ,会 遇 到 各 种 阻力 。 
有 了 管理 者 的 授权 ， 既 能 够 获得 高 级 管理 层 和 各 相关 部 门 的 理解 和 支持 ， 便 于 控制 措施 的 落实 ， 又 能 获得 足够 的 资源 。 


(8) 编制 适用 性 声明 


适用 性 声明 (Statement of Applicability，SoA) 是 一 份 高 层 文件 ， 描 述 了 组 织 适 用 的 控制 目标 和 控制 措施 ， 以 及 如 何 进 
行 控制 的 概要 内 容 ， 同 时 也 包含 了 组 织 不 适用 的 控制 目标 和 控制 措施 ， 以 及 不 适用 的 理由 。 编 制 此 文件 ， 可 以 从 ISOVIEC 27001 
附录 A 开始 ， 将 其 中 的 控制 目标 和 控制 措施 是 否 适 用 加 以 标记 和 描述 ， 若 有 其 他 额外 的 控制 措施 ， 也 一 并 追加 进来 ， 形 成 一 份 完 
整 的 适用 性 声明 。 


5.2.2 ”实施 和 运行 ISMS 


ISMS 的 实施 和 运行 ， 对 应 PDCA 过 程 改 进 模型 的 实施 阶段 。 在 此 阶段 ， 组 织 需要 完成 制定 风险 处 理 计 划 、 实 施 风 险 处 理 计 
划 、 开 发 有 效 性 测量 程序 和 管理 ISMS 的 运行 等 工作 。 


1. 制 定 风险 处 理 计 划 


为 已 经 选择 和 确定 的 风险 处 理 目标 和 风险 处 理 措施 制定 《风险 处 理 计 划 》， 此 计划 应 清晰 地 描述 每 一 项 风险 的 处 理 优先 顺 
序 、 处 理 措施 、 所 需 资 源 、 责 任 人 、 处 理 起 始 日 期 、 处 理 结束 日 期 、 验 证 人 、 验 证 时 间 和 验证 结果 等 内 容 ， 以 确保 计划 的 可 执行 
性 和 可 验证 性 。 


2. 实 施 风险 处 理 计划 


逐一 落实 风险 处 理 计划 中 的 每 一 项 风险 处 理 措施 ， 这 些 风 险 处 理 措施 可 能 包括 建立 信息 安全 组 织 、 编 制 ISMS 的 文件 、 增 加 
技术 性 控制 措施 、 改 进 物理 性 控制 措施 等 。 


3. 开 发 有 效 性 测量 程序 


ISMSs 运 行 及 控制 措施 是 否 有 效 ， 要 有 测量 方法 和 途径 ， 以 便 制 定 改进 措施 加 以 改进 。 所 以 组 织 应 开发 一 份 有 效 性 测量 程 
序 ， 明 确 需要 设立 的 测量 项 目 ， 以 及 每 一 测量 项 目的 度量 标准 、 要 求 达 到 的 指标 、 测 量 方式 、 测 量 周期 和 测量 执行 人 。 有 效 性 测 
量程 序 本 身 ， 应 作为 ISMS 文 件 加 以 管理 和 控制 。 


4. 实 施 培训 和 和 意识 教育 计划 


组 织 应 制定 和 实施 信息 安全 培训 和 意识 教育 计划 ， 使 所 有 员工 都 具有 相应 的 信息 安全 知识 和 技能 ， 以 及 良好 的 信息 安全 意 
识 。 培 训 内 容 应 根据 培训 需求 而 制定 ， 可 以 涉及 有 关 信 息 安全 治理 /管理 、 各 种 信息 安全 技术 、 信 息 安全 审核 和 信息 安全 意识 等 
方面 。 应 对 培训 的 有 效 性 进行 评价 ， 并 保持 教育 、 培 训 、 技 能 、 经 历 和 资格 的 记录 。 信 息 安全 相关 培训 应 具有 一 定 的 强制 性 ， 相 
关 人 员 必 须 接 受 相应 的 信息 安全 培训 ， 并 与 员工 的 绩效 考评 相 结合 。 


5. 管 理 ISMS 的 运行 
组 织 应 对 ISMS 的 运行 进行 管理 ， 包 括 ISMS 文 件 的 审批 、 发 布 和 培训 、ISMS 试 运行 管理 、 宣 布 ISMS 正 式 运 行 等 。 
(1) 批准 并 发 布 ISMS 文 件 


各 个 ISMS 文 件 编写 完毕 后 ， 需 要 得 到 相应 管理 层 的 审批 。 通 常 ， 高 层 文件 由 高 级 管理 层 审批 ， 其 他 文件 由 中 级 管理 层 审 
批 。 经 过 审批 的 文件 应 正式 发 布 ， 可 以 等 所 有 ISMS 文 件 都 编写 完毕 并 经 审批 后 ， 集 中 一 起 发 布 。 常 见 的 发 布 方 式 是 召开 ISMS 发 
布 大 会 ， 并 对 ISMS 文 档 共性 框架 要 求 进行 宣 贯 。 为 强调 对 信息 安全 的 重视 和 支持 ， 大 会 由 高 级 管理 层 代表 主持 ， 要 求 所 有 员工 
都 必须 参加 并 遵照 执行 其 中 的 相关 要 求 。1SMS 发 布 方式 必须 是 有 效 的 ， 要 让 全 体 员 工 都 了 解 高 级 管理 层 对 信息 安全 的 重视 、 支 


持 和 期 望 。 
(2) 宣 贯 和 解释 ISMS 文 件 要 求 


通常 ， 并 不 是 所 有 的 ISMS 文 件 与 每 一 个 部 门 、 每 一 位 员工 都 相关 。 为 确保 员工 了 解 并 理解 与 自身 相关 的 ISMS 文 件 的 要 求 ， 
应 按照 相关 性 原则 ， 组 织 多 个 不 同 的 培训 会 议 分 别 对 不 同 部 门 的 员工 进行 ISMS 文 件 要 求 的 宣 贯 ， 尤 其 是 规模 较 大 的 组 织 在 宣 贯 
文件 要 求 时 ， 应 对 员工 提出 的 疑问 给 予 清 晰 明确 的 解释 ,确保 员工 准确 地 理解 SMS 文 件 要 求 ， 理 解 自 己 所 承担 的 信息 安全 职 
责 ， 同 时 也 应 强调 违反 这 些 规定 可 能 受到 的 处 罚 。 


(3) ISMS 试 运行 期 间 的 管理 


ISMS 文 件 发 布 以 后 ， 规 定 一 段 试 运行 期 是 一 种 比较 好 的 实践 方法 。 通 常 ， 在 试 运 行 期 间 ， 以 培养 'SMS 运 行 的 环境 和 完善 
ISMS 文 件 为 主要 目的 ， 给 员工 充分 的 时 间 来 逐渐 熟悉 、 深 入 理解 并 接受 和 遵守 ISMS 的 要 求 ， 养 成 良好 的 安全 工作 习惯 ,提高 安 
全 意识 。 在 试 运行 期 间 ， 若 有 员工 违反 了 ISMS 的 要 求 ， 宜 以 教育 和 帮助 为 主 ， 避 免 给 予 严厉 的 处 罚 。 同 时 ， 信 息 安全 组 织 相 关 
人 员 应 及 时 收集 各 方 反 馈 ， 并 及 时 修正 不 合理 的 、 难 以 落实 执行 的 要 求 ， 加 入 遗漏 的 要 求 。 修 订 过 的 文件 应 重新 进行 审批 和 发 
布 。 


(4) 宣布 ISMS 正 式 运 行 


ISMS 试 运行 结束 以 后 ， 应 宣布 ISMS 的 正式 运行 。 同 时 ， 应 再 次 强调 高 级 管理 层 对 信息 安全 的 重视 、 支 持 和 期 望 ， 强 调 员 工 
遵守 |SMS 要 求 的 重要 意义 ， 重 申 对 违反 ISMS 要 求 的 人 员 将 按 人 力 资源 部 门 有 关 违 反 信 息 安全 规定 的 惩戒 措施 予以 惩戒 。 


6. 管 理 ISM S 的 资源 


管理 者 应 为 ISMS 的 运行 、 各 项 控制 措施 的 落实 提供 足够 的 资金 ， 以 及 具备 相应 信息 安全 知识 、 技 能 和 意识 的 人 员 。 申 请 到 
的 资金 ， 应 根据 风险 评估 的 结果 ， 优 先 用 于 处 置 高 风险 ， 确 保 资 金 使 用 合理 ， 能 够 产生 较 高 的 投入 产 出 比 。 


确保 信息 安全 相应 人 员 能 够 持续 胜任 本 职工 作 ， 需 要 持续 对 其 进行 有 针对 性 的 培训 ， 使 其 具备 所 需 的 信息 安全 知识 、 技 能 和 
意识 。 为 确保 培训 质量 ， 应 对 培训 讲师 和 学 员 进 行 双向 考核 ， 并 在 适宜 的 情况 下 ， 通 过 考试 来 检验 培训 效果 。 信 息 安全 培训 具有 
一 定 的 强制 性 ， 应 将 接受 信息 安全 培训 纳入 员工 绩效 考核 的 范畴 。 


7. 实 施 检测 事态 和 响应 事件 的 程序 


管理 者 应 确保 各 种 检测 性 控制 措施 的 正常 运行 ， 及 时 发 现 信息 安全 事态 。 发 现 的 事态 应 及 时 处 理 ， 尽 可 能 将 事态 消除 在 萌芽 
状态 ， 避 免 进 一 步 升级 为 安全 事件 或 事故 。 对 于 确认 的 信息 安全 事件 ， 应 按 相 应 的 信息 安全 事件 管理 程序 迅速 响应 ， 防 止 损失 进 
一 步 扩大 。 越 早 发 现 并 处 理 信息 安全 事态 和 事件 ， 所 花费 的 代价 及 损失 越 小 。 


5.2.3 ”监视 和 评审 ISMS 


ISMS 的 监视 与 评审 ， 对 应 PDCA 循 环 的 检查 阶段 。 在 此 阶段 ， 组 织 应 进行 日 常 监视 和 检查 、 内 部 审核 、 有 效 性 测量 、 风 险 
再 评估 以 及 管理 评审 等 活动 。 


1. 日 常 监视 和 检查 


日 常 监视 和 检查 是 监视 与 评审 |ISMS 阶 段 的 重要 活动 ， 能 发 现 ISM S 运 行 过 程 中 存在 的 问题 ， 手 段 包 括 自动 入 侵 检 测 、 人 工 检 
查 等 。 日 常 监视 和 检查 应 作为 正常 业务 过 程 的 一 部 分 予以 执行 ， 以 便 迅 速 检测 过 程 运行 结果 中 的 错误 ， 识 别 试图 和 已 成 功 的 安全 
违规 行为 和 安全 事件 ， 确 认 相关 人 员 的 安全 活动 或 技术 性 控制 措施 是 否 如 期 执行 ， 判 定安 全 违规 措施 是 否 有 效 。 


2. 进 行 有 效 性 测量 


组 织 应 按照 已 经 开发 的 有 效 性 测量 程序 ， 进 行 有 效 性 测量 ， 以 验证 1SM ss 运行 及 各 项 控制 措施 是 否 有 效 ， 是 否 满足 组 织 的 安 
全 要 求 和 信息 安全 方针 ， 是 否 达成 组 织 的 信息 安全 目标 。 各 测量 项 目的 测量 执行 人 要 按照 既定 的 测量 方式 、 测 量 周期 进行 测量 ， 
生成 并 保持 测量 记录 ， 对 照 已 经 定义 的 度量 标准 ， 可 以 得 到 每 个 测量 项 目的 评定 结果 。 例 如 ， 是 属于 优 、 良 、 中 、 差 、 务 的 哪 一 
级 别 ， 对 照应 达到 的 指标 (例如 ， 某 一 测量 项 目 要 求 达到 的 指标 为 “ 良 ”) ， 评 判 这 一 测量 项 目 是 否 符合 要 求 。 通 过 实施 有 效 性 
测量 ， 组 织 能 够 准确 地 掌握 其 当前 信息 安全 水 平 。 


组 织 应 定期 对 ISMS 实 施 内 部 审核 ， 以 确保 持续 满足 信息 安全 相关 标准 、 法 律 法 规 ， 以 及 本 组 织 信息 安 全 方针 的 要 求 。 各 组 
织 根据 拟 审核 业务 过 程 和 范围 的 状况 、 重 要 性 ， 以 及 以 往 审 核 结果 ， 确 定 审核 的 准则 、 范 围 、 频 次 和 方法 。 如 果 拟 审核 的 过 程 复 
杂 、 范 围 广 、 重 要 程度 高 、 对 ISMS 有 效 性 的 影响 大 ， 就 要 加 大 审核 力度 ， 或 增加 审核 频次 。 


内 部 审核 实施 前 应 制订 审核 方案 ， 审 核 完成 后 要 形成 内 部 审核 报告 。 常 规 的 内 部 审核 实施 流程 包括 以 下 几 个 步骤 。 
(1) 审核 前 的 准备 


审核 前 的 准备 通常 包括 编制 内 部 审核 计划 、 成 立 内 审 小 组 和 编制 内 审 检查 列表 等 活动 。 审 核实 施 前 应 编制 《内 部 审核 计 
划 》， 其 内 容 包括 内 审 的 目的 、 范 围 、 审 核 过 程 及 重点 、 所 涉及 的 部 门 、 审 核 时 间 及 日 程 安排 等 ; 应 成 立 内 审 小 组 ， 由 管理 者 指 
派 内 审 小 组 组 长 及 内 审 员 ， 明 确 职责 分 工 ; 内 审 员 应 根据 自己 负责 的 审核 区 域 编 制 审核 检查 列表 ， 以 及 其 他 需要 的 工具 。 


(2) 实施 内 部 审核 


实施 内 部 审核 通常 需要 依次 进行 以 下 活动 : 召开 首次 会 议 、 文 件 审核 、 现 场 审 核 、 确 定 不 符合 项 和 召开 末次 会 议 。 首 次 会 议 
上 ， 要 说 明 内 审 的 目的 ， 宣 布 内 审 组 成 员 名单 ， 双 方 人 员 介绍 和 沟通 ， 并 宣布 审核 计划 ; 一 般 情况 下 ， 先 进行 文件 审核 ， 再 进行 
现场 审核 ， 也 可 以 根据 实际 情况 ， 文 件 审核 和 现场 审核 交 蔡 或 同时 进行 。 根 据 不 符合 项 严重 程度 ， 一 般 分 为 轻微 不 符合 项 和 严重 
不 符合 项 。 除 不 符合 项 以 外 ， 还 可 以 同时 有 若干 观察 项 。 当 发 现 组 织 的 1SM 与 规定 的 体系 标准 或 文件 要 求 严重 不 符 ， (例如 关 
键 的 控制 程序 没有 得 到 贯彻 ， 缺 乏 标准 规定 的 要 求 等 ) 或 者 集中 出 现 多 个 轻微 不 符合 项 ， 使 得 某 方面 的 控制 失效 ， 或 者 不 符合 
求 可 能 造成 严重 后 果 ， 人 存在 重大 信息 安全 风险 ， 或 者 出 现 违反 法 律 法 规 的 不 符合 项 等 情况 时 ， 审 核 员 可 以 开具 严重 不 符合 项 。 当 
发 现 孤 立 、 偶 发 性 是 对 1ISMS 无 直接 影响 的 问题 时 ， 审 核 员 可 以 开具 轻微 不 符合 项 。 对 于 可 能 发 生 的 潜在 不 符合 项 或 可 改进 项 ， 
审核 员 应 以 观察 项 的 形式 提出 。 内 审 小 组 确定 不 符合 项 ， 应 与 受审 核 方 交换 意见 ， 探 讨 问题 产生 的 原因 ， 不 符合 事实 要 得 到 受审 
六 部 门 相 关 人 员 的 确认 。 在 末次 会 议 上 ， 应 宣读 不 符合 项 和 审核 结论 。 


(3) 编写 审核 报告 


内 审 小 组 编写 《内 部 审核 报告 》， 内 容 包 括 审核 情况 概述 、 审 核发 现 ( 即 符合 项 和 不 符合 项 的 描述 ) 、 不 符合 项 的 统计 与 分 
析 、 审 核 结论 以 及 纠正 措施 要 求 等 。ISMS 内 部 审核 以 《内 部 审核 报告 》 的 提交 为 结束 标志 。 


内 部 审核 结束 后 ， 还 应 有 后 续 跟 踪 活 动 。 如 果 审 核 结 论 明确 提出 纠正 和 预防 措施 要 求 并 且 得 到 确认 ， 受 审核 方 应 分 析 不 符合 
发 生 的 原因 ， 制 定 并 实施 有 针对 性 的 纠正 和 预防 措施 ， 审 核 员 就 应 按照 一 定 程序 来 验证 纠正 措施 是 否 按 照 计 划 完 成 ， 验 证 是 审核 
的 重要 组 成 部 分 。 跟 踪 验 证 关注 的 主要 是 审核 中 发 现 的 不 符合 项 的 纠正 情况 ， 通 过 跟踪 验证 ， 审 核 员 要 向 高 级 管理 层 及 时 反馈 受 
审核 方 的 纠正 情况 ， 以 及 ISMS 持 续 运行 的 情况 ， 并 且 提 供 充足 的 证 据 。 


4. 实 施 风 险 再 评估 


组 织 应 定期 在 ISMS 学 围 内 实施 风险 再 评估 ， 发 现 之 前 风险 评估 未 能 识别 的 威胁 和 脆弱 性 引发 的 风险 ， 以 及 由 于 各 种 变化 引 
起 的 风险 变化 和 新 风险 。 在 信息 安全 法 律 法 规 发 生 重大 变化 ， 或 出 现 重大 信息 安全 事件 ， 以 及 其 他 使 体系 发 生 重大 变化 的 情况 
下 ， 还 应 适时 进行 风险 再 评估 。 风 险 再 评估 关注 的 重点 是 发 生变 化 的 部 分 ， 以 及 对 残余 风险 和 已 经 确定 的 风险 可 接受 级 别 的 评 


组 织 应 定期 对 ISMS 实 施 管 理 评审 。 当 系统 环境 发 生 较 大 变化 、 组 织 机 构 发 生 重大 变化 或 安全 需求 发 生 改变 时 ， 需 要 适时 进 
行 管理 评审 ， 并 可 临时 缩短 管理 评审 的 周期 。 管 理 评审 由 组 织 的 高 级 管理 层 亲自 主导 实施 ， 通 常 以 召开 管理 评审 会 议 的 方式 进 


行 。 管 理 评审 会 议 召 开 之 前 ， 应 拟定 参加 会 议 的 人 员 名 单 ， 并 提前 指定 相关 人 员 收 集 管理 评审 的 各 项 输入 材料 ， 管 理 评审 输入 材 
料 至 少 应 包括 1SMS 审 核 和 评审 的 结果 、 相 关 方 的 反馈 ， 组 织 用 于 改进 ISMS 执 行情 况 和 有 效 性 的 技术 与 产品 和 规程 、 预 防 和 纠正 
措施 的 状况 ， 以 往 风 险 评估 没有 充分 强调 的 脆弱 性 和 威胁 ， 有 效 性 测量 的 结果 ， 以 往 管理 评审 的 跟踪 措施 ， 可 能 影响 1SMS 的 任 
何 变更 以 及 改进 ISMS 的 任何 建议 ， 以 确保 输入 材料 的 全 面 和 客观 。 评 审 包 括 评估 ISMS 改 进 的 机 会 和 变更 的 需要 ， 评 估 信 息 安全 
方针 和 信息 安全 目标 是 否 需要 变更 。 管 理 评审 活动 应 该 形成 管理 评审 输出 ， 输 出 包括 : ISMS 有 效 性 的 改进 、 风 险 评估 和 风险 处 
置 计 划 的 更 新 、 资 源 需求 、 有 效 性 测量 方法 的 改进 ， 以 及 修改 ISMS 文 件 和 控制 措施 以 响应 各 种 变化 〈 所 关注 的 变化 范围 是 广泛 
的 ， 包 括 业 务 需求 、 安 全 需求 、 业 务 过 程 、 法 律 法 规 要求 、 合 同 义 务 、 风 险 级 别 和 风险 可 接收 准则 等 方面 的 变化 ) 。 


5.2.4 ”保持 和 改进 ISMS 


ISMS 的 保持 和 改进 ， 对 应 PDCA 循 环 的 改进 阶段 。 在 此 阶段 ， 组 织 应 实施 纠正 和 预防 措施 ， 持 续 改 进 ISMS， 以 及 沟通 措施 
和 改进 情况 。 组 织 应 在 信息 安全 方针 、 信 息 安全 目标 的 指引 下 ， 基 于 内 部 审核 结果 、 外 部 审核 结果 、 有 效 性 测量 结果 、 风 险 再 评 
估 结 果 和 管理 评审 结果 和 事态 分 析 结 果 等 内 容 ， 制 定 相应 的 改进 措施 ， 持 续 改进 ISMS 的 有 效 性 。 


1. 实 施 纠 正和 预防 措施 


纠正 措施 是 指 为 消除 与 引发 不 符合 ISMS 要 求 的 来 源 ， 并 防止 其 再 发 生 所 采取 的 措施 。 预 防 措施 是 指 消除 潜在 不 符合 原因 ， 
防止 其 发 生 所 采取 的 措施 。 纠 正 措施 与 预防 措施 有 所 区 别 ， 纠 正 措施 是 为 了 防止 不 符合 的 再 发 生 ， 而 预防 措施 是 为 了 防止 不 符合 
的 发 生 。 


针对 监视 和 评审 ISMS 阶 段 识别 出 的 不 符合 项 和 潜在 不 符合 项 ， 受 审核 部 门 首先 分 析 它 们 发 生 或 存在 的 原因 ， 制 定 有 针对 性 
的 纠正 措施 和 预防 措施 ， 确 保 这 些 措施 的 有 效 性 、 可 实施 性 和 成 本 效益 。 记 录 措 施 的 实施 及 结果 ， 并 进行 评审 。 


当 组 织 自身 或 其 他 组 织 发 生 信息 安全 事件 时 ， 应 对 事件 进行 分 析 ， 吸 取 相 应 教训 ， 总 结 事件 处 理 的 经 验 ， 采 取 相 应 措施 ， 防 
止 再 次 发 生 类 似 事件 。 当 其 他 组 织 有 了 一 些 好 的 信息 安全 控制 措施 时 ， 也 应 该 对 其 进行 学 习 和 分 析 ， 判 断 是 否 能 在 本 组 织 实施 类 
似 的 控制 措施 。 


2 .沟通 措施 和 改进 情况 


信息 安全 组 织 应 向 组 织 的 所 有 相关 方 沟通 各 项 控制 措施 及 改进 情况 。 商 定 沟通 的 方式 ， 如 召开 信息 安全 沟通 协调 会 ， 分 发 信 
息 安 全 沟通 函 等 ， 确 保 沟通 正式 且 有 效 ， 并 获得 相关 方 对 信息 安全 控制 措施 的 理解 与 支持 。 


5.3 “信息 安全 控制 措施 


控制 措施 是 管理 风险 的 具体 方法 和 手段 。 落 实 特定 的 信息 安全 控制 措施 以 处 理 特定 的 安全 风险 ， 满 足 特 定 的 安全 需求 ， 实 现 
特定 的 安全 控制 目标 。 


5.3.1 ”安全 方针 


言 息 安 全 方针 的 控制 目标 是 指 组 织 的 安全 方针 能 够 依据 业务 要 求 和 相关 法 律 、 法 规 提 供 信息 安全 管理 指导 并 支持 信息 安全 。 
这 一 控制 目标 的 实现 ， 需 要 落实 信息 安全 方针 文件 、 信 息 安全 方针 评审 这 2 项 控制 措施 。 


信息 安全 方针 文件 应 该 由 管理 者 批准 、 发 布 并 传达 给 所 有 员工 和 外 部 相关 方 。 此 项 措施 的 主要 控制 包括 制定 、 审 批 、 发 布 和 
传达 信息 安全 方针 。 信 息 安 全 方针 文件 的 内 容 应 包括 管理 者 的 管理 承诺 、 信 息 安全 管理 方法 、 整 体 目标 和 范围 、 控 制 目标 和 控制 
措施 的 框架 ;重要 安全 策略 、 原 则 、 标 准 和 符合 性 要 求 说 明 ; 安全 管理 的 一 般 和 特定 职责 定义 、 支 持 方针 的 文件 引用 等 。 信 息 安 
全 方针 文件 的 审批 应 由 组 织 的 高 级 管理 层 来 完成 。 信 息 安全 方针 文件 的 发 布 和 传达 方式 应 正式 且 有 效 ， 例 如 ， 通 过 召开 全 体 员工 
大 会 的 方式 宣 贯 信息 安全 方针 ， 在 组 织 的 园区 、 会 议 室 等 处 张贴 信息 安全 方针 总 纲 等 。 


信息 安全 方针 评审 是 指 按 计 划 的 时 间 间 隔 或 发 生 重大 变化 时 进行 信息 安全 方针 评审 ， 确 保 其 持续 适宜 性 、 充 分 性 和 有 效 性 。 
该 措施 的 实施 内 容 包括 指派 专人 负责 信息 安全 方针 的 制定 和 评审 ; 评审 的 内 容 应 包含 相关 反馈 、 过 程 执行 情况 与 安全 方针 的 符合 
性 、 威 胁 发 展 趋势 、 相 关 建 议 等 ; 评审 结果 应 包含 信息 安全 管理 方法 及 过 程 的 改进 ， 控 制 目标 及 措施 的 改进 等 。 明 确定 义 信 息 安 
全 方针 评审 的 周期 ， 以 及 其 他 能 够 触发 评审 的 变化 和 事件 。 


5.3.2 ”信息 安全 组 织 


信息 安全 组 织 有 内 部 组 织 和 外 部 各 方 两 个 控制 目标 。 

1. 内 部 组 织 

内 部 组 织 的 控制 目标 是 实现 对 组 织 内 部 的 信息 安全 管理 。 这 项 控制 目标 的 实现 由 以 下 8 项 措施 的 落实 来 保障 。 
(1) 信息 安全 的 管理 承诺 


管理 者 应 通过 清晰 的 说 明 、 可 证 实 的 承诺 、 明 确 的 信息 安全 职责 分 配 及 确认 ， 来 积极 支持 组 织 内 的 信息 安全 。 此 项 措施 的 主 
要 内 容 包 括 : 明确 管理 者 应 该 履行 的 信息 安全 相关 管理 职责 ， 详 细 内 容 参 见 5.1.1 节 ; 提供 信息 安全 所 需 资源 ; 批准 内 部 信息 安 
全 角色 及 职责 划分 ; 根据 内 、 外 部 专家 提出 的 信息 安全 建议 ， 评 审 和 协调 专家 建议 结果 。 


(2) 信息 安全 协调 


言 息 安 全 活动 应 由 来 自 不 同 部 门 并 具备 相关 角色 和 工作 职责 的 人 员 进 行 协调 。 此 项 措施 的 常规 控制 包括 成 立 或 指定 适当 的 管 
理 机 构 或 管理 人 员 专 门 负责 信息 安全 协调 ， 以 实现 相关 人 员 与 信息 安全 专业 之 间 的 协调 和 协作 。 这 些 活动 应 该 确保 安全 活动 的 实 
施 与 信息 安全 方针 相 一 致 ， 核 准 信息 安全 方法 和 过 程 ; 识别 重大 风险 ; 评估 措施 实施 的 充分 性 和 协调 性 。 


(3) 信息 安全 职责 的 分 配 


所 有 的 信息 安全 职责 应 予以 清晰 的 定义 。 此 项 措施 的 内 容 包括 定义 资产 的 保护 职责 ; 定义 角色 ， 将 已 定义 的 信息 安全 职责 分 
配给 各 个 角色 ， 再 明确 每 名 员工 的 角色 ， 即 明确 了 每 名 员工 的 信息 安全 职责 ; 将 每 个 岗位 的 信息 安全 职责 编制 成 岗位 职责 说 明 
书 ， 打 印 后 由 人 力 资源 负责 人 、 员 工 主管 领导 及 员工 本 人 签字 确认 。 


(4) 信息 处 理 设 施 的 授权 过 程 


为 新 信息 处 理 设施 的 使 用 定义 一 个 管理 授权 过 程 并 实施 。 此 项 措施 具体 包括 建立 申请 、 审 批 、 授 权 的 有 效 管理 过 程 ， 用 以 批 
准 新 信息 处 理 设施 的 用 途 和 使 用 ， 有 效 禁 止 未 经 授权 使 用 信息 处 理 设施 的 行为 。 


(5) 保密 性 协议 


应 识别 并 定期 评审 反映 组 织 信息 保护 需求 的 保密 协议 。 组 织 应 与 员工 、 合 作 机 构 及 人 员 签署 合法 的 保密 协议 ， 保 密 协 议 中 应 
明确 保密 信息 的 范围 、 协 议 持 续 的 时 间 、 商 业 秘密 和 知识 产权 的 所 有 权 、 对 保密 信息 相关 活动 进行 审核 和 监视 的 权利 等 内 容 。 


(6) 与 政府 部 门 的 联系 


保持 与 政府 相关 部 门 的 适当 联系 ， 以 便 及 时 得 到 官方 信息 并 及 时 调整 信息 安全 策略 ， 避 免 组 织 成 为 信息 孤岛 。 组 织 应 制定 应 
急 响 应 计划 、 事 件 管理 等 规程 文件 ， 指 明 什么 时 候 应 当 与 哪个 部 门 联系 ， 找 到 这 些 部 门 的 具体 联系 方式 并 验证 有 效 后 写 进 相应 文 
件 。 这 些 部 门 通常 包括 执法 部 门 、 消 防 部 门 、 监 管 部 门 、 电 力 供应 部 门 和 电信 运营 商 等 。 


(7) 与 特定 利益 集团 的 联系 


保持 与 特定 利益 集团 、 其 他 安全 专家 组 织 和 专业 协会 的 适当 联系 ， 以 保障 信息 安全 过 程 所 需 的 技术 支持 和 更 新 。 组 织 可 以 成 
为 特定 利益 集团 或 安全 专家 组 织 的 成 员 ， 以 便 增进 对 最 佳 实践 和 最 新 相关 安全 信息 的 了 解 ， 在 需要 时 向 其 寻求 建议 和 帮助 。 


(8) 信息 安全 的 独立 评审 


组 织 管理 信息 安全 的 方法 及 其 实施 应 按 计 划 的 时 间 间 隔 进 行 独立 评审 ， 当 安全 实施 发 生 重 大 变化 时 ， 也 要 进行 独立 评审 。 组 
织 应 制定 相应 的 规程 ， 规 定 独立 评审 的 周期 和 方式 。 周 期 通常 为 三 个 月 或 六 个 月 ， 最 长 不 超过 一 年 。 常 见方 式 有 内 部 审核 、 第 三 
方 审核 和 管理 评审 。 独 立 评审 结果 应 以 书面 形式 保存 ， 并 报告 评审 管理 者 。 


2. 外 部 各 方 
外 部 各 方 的 控制 目标 是 保持 组 织 被 外 部 各 方 访问 、 处 理 、 管 理 或 与 外 部 进行 通信 的 信息 和 信息 处 理 设施 的 安全 。 
(1) 与 外 部 各 方 相关 风险 的 识别 


与 组 织 外 部 各 方 通信 前 ， 首 先 要 识别 各 项 涉及 外 部 方 业务 过 程 中 组 织 的 信息 和 信息 处 理 设施 的 风险 ， 并 在 允许 访问 前 实施 适 
当 的 控制 措施 。 在 对 外 部 各 方 的 风险 评估 活动 中 包括 外 部 各 方 相关 业务 及 资产 的 识别 与 评估 ， 制 定 并 落实 相应 的 风险 处 理 措施 ， 
至 少 包括 法 律 层面 (参见 下 文 : “ (2) 处 理 外 部 各 方 协议 中 的 安全 问题 ”) 、 管 理 层面 、 技 术 层 面 的 控制 措施 ， 措 施 落实 之 前 
不 允许 外 部 各 方 访 问 相关 资源 。 


(2) 处 理 外 部 各 方 协议 中 的 安全 问题 


外 部 各 方 签署 的 涉及 访问 、 处 理 或 管理 组 织 的 信息 或 信息 处 理 设施 以 及 与 之 通信 的 协议 ， 或 在 信息 处 理 设施 中 增加 产品 或 服 
务 的 协议 ， 应 涵盖 所 有 相关 安全 要 求 。 组 织 应 该 将 对 外 部 各 方 的 所 有 安全 要 求 、 安 全 职责 、 外 部 各 方 需要 落实 的 安全 措施 ， 写 入 
与 之 签 定 的 具有 法 律 效力 的 协议 /合同 中 ， 明 确 违反 协议 应 承担 的 违约 /赔偿 责任 ， 确 定 对 外 部 各 方 进行 信息 安全 监视 和 审核 的 权 
力 。 


5.3.3 ”资产 管理 
资产 管理 包含 对 资产 负责 和 信息 分 类 两 个 控制 目标 。 
1. 对 资产 负责 


对 资产 负责 的 控制 目标 是 实现 和 保持 对 组 织 资 产 的 适当 保护 。 这 一 控制 目标 的 实现 由 以 下 3 项 控制 措施 的 落实 来 保障 。 


(1) 资产 清单 


组 织 应 清晰 识别 所 有 资产 ， 编 制 并 维护 所 有 重要 资产 的 清单 。 组 织 应 分 类 识别 资产 ， 形 成 资产 清单 文件 ， 清 单 文件 还 应 记录 
资产 的 各 个 重要 属性 ， 这 些 属性 通常 包括 所 有 灾难 恢复 时 需要 的 信息 ， 如 资产 类 型 、 格 式 、 位 置 、 备 份 信息 、 许 可 证 信息 和 业务 
价值 等 。 通 常 将 资产 分 为 信息 、 软 件 、 实 物 、 人 员 、 服 务 和 无 形 资 产 6 种 。 除 了 分 类 识别 资产 ， 组 织 还 应 该 识别 资产 的 使 用 者 。 


(2) 资产 责任 人 


与 信息 处 理 设施 有 关 的 所 有 信息 和 资产 (包括 业务 过 程 、 已 定义 的 活动 等 ) 应 由 组 织 的 指定 部 门 或 人 员 承 担 责任 。 此 项 措施 
要 求 明确 所 有 资产 的 责任 人 ， 并 要 求 责 任 人 履行 其 职责 ， 包 括 确定 资产 的 类 别 /级 别 ， 明 确 对 资产 的 保护 要 求 ， 对 资产 的 类 别 /级 
别 、 保 护 措施 和 访问 限制 进行 周期 性 评审 等 。 


(3) 资产 的 可 接受 使 用 


确定 资产 的 可 接受 使 用 规定 ， 形 成 文件 并 加 以 实施 。 组 织 应 在 相应 资产 管理 文件 中 加 入 类 似 “ 所 有 资产 及 资源 仅 允 许 被 用 于 
业务 目的 ,禁止 用 于 非 业务 目的 ”的 条 款 ; 某 些 特 殊 资 产 (如 移动 存储 介质 、 网 络 等 ) 可 制定 使 用 指南 ， 明 确 使 用 的 限制 条 件 和 
使 用 者 的 安全 责任 。 


此 项 控制 的 目标 是 确保 信息 受到 适当 级 别 的 保护 ， 包 括 以 下 2 项 控制 措施 。 
(1) 分 类 指南 


按照 信息 对 组 织 的 价值 、 法 律 要 求 、 敏 感性 和 关键 性 对 信息 进行 分 类 。 组 织 应 制定 信息 的 分 级 、 分 类 指南 或 准则 ， 并 定期 进 
行 评审 ， 确 保 信息 及 资产 处 于 恰当 的 类 别 和 级 别 。 


(2) 信息 的 标记 和 处 理 


按照 组 织 所 采纳 的 分 类 机 制 建立 和 实施 一 组 合适 的 信息 标记 和 处 理 程序 。 组 织 需要 制定 信息 标记 和 处 理 程序 ， 明 确 各 种 存储 
介质 中 信息 的 标识 方式 和 具体 要 求 ， 以 及 信息 生成 、 储 存 、 传 输 、 打 ED、 复 印 、 对 内 分 发 、 对 外 分 发 、 删 除 和 销毁 等 环节 的 安全 
保护 要 求 。 


5.3.4” 人力 资源 安全 


人 力 资源 安全 划分 为 3 个 控制 阶段 : 任用 之 前 、 任 用 中 、 任 用 终止 或 变化 。 

1. 任 用 前 

确保 雇员 、 承 包 方 人 员 和 第 三 方 人 员 理 解 其 工作 职责 并 适合 预期 角色 ， 以 降低 设施 被 穿 、 欺 诈 和 误 用 的 风险 。 
(1) 角色 和 职责 


角色 和 职责 说 明 书 


按照 组 织 的 信息 安全 方针 ， 以 书面 文件 形式 定义 雇员 、 承 包 方 人 员 和 第 三 方 人 员 的 安全 角色 和 职责 。 通 常 
告 安全 事态 及 风险 。 雇 


中 应 明确 组 织 信息 安全 的 实施 和 运行 要 求 ， 资 产 的 安全 保护 要 求 ， 岗 位 的 安全 过 程 或 活动 ， 并 要 求 及 时 报 
员 、 承 包 方 人 员 应 详细 阅读 岗位 职责 说 明 ， 确 保 理 解 其 应 承担 的 职责 。 


(2) 审查 


所 有 任用 的 候选 者 、 承 包 方 人 员 和 第 三 方 人 员 的 背景 核查 应 按照 相关 法 律 、 法 规 、 道 德 规 范 和 对 应 的 业务 要 求 ， 以 及 被 访问 
言 息 的 类 别 和 已 识别 的 风险 来 执行 。 应 制定 背景 审查 的 规范 或 程序 ， 明 确 基本 审查 项 ， 通 常 包括 各 种 资质 证 书 真 伪 的 核查 、 工 作 
履历 真实 性 的 核查 等 ， 以 及 附加 审查 项 ， 通 常 包 括 经 济 信用 调查 、 刑 事 犯罪 记录 调查 等 。 明 确 附 加 审查 项 目 适 用 的 情况 ， 一 般 只 
针对 关键 和 敏感 岗位 ， 如 财务 相关 岗位 、 能 接触 到 敏感 或 重要 数据 的 岗位 。 审 查 执行 人 员 应 编制 并 保留 审查 记录 ， 审 查 活动 应 遵 
守 隐 私 、 个 人 数据 保护 等 相关 的 法 律 及 其 他 限制 。 


(3) 任用 条 款 和 条 件 


了 下 


在 与 和 雇员、 承包 方 人 员 和 第 三 方 人 员 签 定 的 合同 中 应 包含 他 们 在 组 织 中 人 
对 组 织 和 任用 人 员 都 是 一 种 保障 。 在 签订 的 条 款 和 条 件 中 应 包含 所 能 操作 的 人 
有 的 权利 等 。 上 述 条 款 和 条 件 宜 在 合同 结束 后 持续 一 段 时 间 。 


息 安 全 职责 的 条 款 和 条 件 。 明 确 的 任用 条 款 和 条 件 
息 资产 及 相应 安全 职责 ， 所 应 承担 的 法 律 责任 和 拥 


了 路 


2. 任 用 中 


该 控制 的 目标 是 确保 所 有 雇员 、 承 包 方 和 第 三 方 人 员 了 解 信息 安全 威胁 和 危害 ， 明 确 其 工作 应 承担 的 安全 职责 和 义务 ， 如 果 
违反 安全 规定 将 会 受到 的 纪律 处 理 ， 通 过 安全 培训 使 其 掌握 信息 处 理 设 施 的 安全 使 用 方法 ， 以 减少 人 为 过 失 造 成 的 风险 。 


(1) 管理 职责 


管理 者 应 要 求 雇员 、 承 包 方 和 第 三 方 人 员 严 格 执行 组 织 建立 的 方针 策略 和 规程 。 工 作 人 员 应 遵守 作用 条 款 和 条 件 ， 按 照 正确 
的 方法 和 流程 完成 工作 任务 ， 了 解 安 全 奖惩 措施 ， 具 备 必 须 的 技能 和 资质 。 


(2) 信息 安全 意识 、 教 育 和 培训 


所 有 雇员 、 承 包 方 人 员 和 第 三 方 人 员 ， 应 受到 与 其 工作 职能 相关 的 适当 的 意识 培训 和 组 织 方针 策略 及 程序 的 定期 更 新 培训 。 
信息 安全 管理 部 门 与 人 力 资源 部 门 共 同 制定 信息 安全 培训 计划 ,通常 包括 入 职 培 训 、 岗 前 培训 、 安 全 方针 策略 制度 要 求 的 宣 贯 培 
训 、 专 项 技能 培训 和 信息 安全 意识 培训 等 ， 形 成 并 保留 培训 记录 ， 对 培训 效果 进行 双向 考核 。 


(3) 纪律 处 理 过 程 


编制 一 个 正式 的 纪律 处 理 程序 ， 以 便当 有 雇员 安全 违规 时 对 其 进行 处 理 。 人 力 资 源 部 门 制定 正式 的 纪律 处 理 程序 ， 规 定 会 受 
惩戒 的 行为 和 条 件 ， 以 及 惩戒 方式 ， 惩 戒 方 式 应 不 违反 劳动 法 等 相关 法 律 。 实 施 惩戒 之 前 ， 应 核实 员工 的 安全 违规 行为 。 


3. 任 用 的 终止 或 变化 


此 项 控制 目标 是 确保 和 雇员、 承包 方 人 员 和 第 三 方 人 员 以 一 个 规范 的 方式 退出 一 个 组 织 或 改变 其 任用 关系 ， 包 括 调换 岗位 或 岗 
位 职责 发 生变 化 。 所 有 相关 人 员 退 出 时 应 归还 组 织 资 产 ， 并 及 时 取消 其 所 有 访问 权限 。 


(1) 终止 职责 


组 织 应 该 清晰 定义 和 分 配 负责 执行 任用 终止 或 任用 变更 的 相关 职责 。 此 项 措施 的 常规 控制 包括 : 制定 严密 的 离职 、 调 岗 或 岗 
位 职责 发 生变 化 的 流程 ; 规定 在 发 生 离 职 、 调 岗 等 情况 时 相关 人 员 的 责任 ， 通 常 包括 人 力 资源 部 门人 员 约 谈 离 职 人 员 ， 重 申 其 离 
职 后 还 应 继续 履行 的 义务 ;审核 人 员 对 离职 人 员 进 行 离职 审核 ; 离职 人 员 所 在 部 门 的 助理 或 秘书 通知 内 部 相关 部 门 及 外 部 相关 各 
方 人 员 已 经 离职 等 。 调 岗 或 岗位 职责 发 生变 化 的 情况 ， 分 两 部 分 来 处 理 : 新 增 职责 ， 按 任用 前 对 待 ， 减 少 职责 部 分 ， 按 任用 终止 
对 待 。 


(2) 资产 的 归还 


所 有 的 雇员 、 承 包 方 人 员 和 第 三 方 人 员 在 终止 任用 、 合 同 或 协议 时 ， 应 归还 他 们 使 用 的 所 有 组 织 资产 。 此 项 措施 的 常规 控制 
包括 : 离职 流程 中 包含 填写 名 称 类 似 《 离 职 流转 签 批 单 》 的 表单 ， 由 离职 人 员 执 此 单 ， 向 各 部 门 归 还 组 织 的 各 项 资产 ， 每 个 部 门 
的 相应 人 员 在 该 部 门 的 资产 全 部 归还 的 情况 下 ， 签 署 交 接 清 单 和 离职 意见 ， 需 要 归还 的 资产 通常 包括 所 有 先前 发 放 的 软件 、 文 
件 、 数 据 、 计 算 机 、 信 用 卡 、 访 问 卡 、 门 蔡 卡 、 工 作证 、 手 册 、 和 笔记本、 工作 服 和 徽章 等 。 离职 人 员 使 用 自己 的 设备 处 理 过 的 组 
织 相关 信息 ， 应 转移 给 组 织 ， 并 从 设备 中 安全 删除 。 


(3) 撤销 访问 权 


所 有 雇员 、 承 包 方 人 员 和 第 三 方 人 员 对 信息 和 信息 处 理 设施 的 访问 权 应 在 任用 、 合 同 或 协议 终止 时 删除 ， 或 在 变化 时 调整 。 
此 项 措施 的 常规 控制 包括 : 在 第 一 时 间 蔡 用 所 有 离职 人 员 相关 账号 ， 去 除 相关 账号 的 所 有 访问 权限 ， 同 时 修改 所 有 共享 口令 或 密 
码 ， 如 登录 无 线 局 域 网 (Wireless Local Area Network，WLAN) 的 共享 口令 ;在 离职 审核 结束 后 ， 若 允许 ， 删 除 离职 人 员 的 
所 有 账号 ， 并 从 所 有 群 或 组 中 删除 相关 账号 。 


5.3.5 ”物理 和 和 环境 安全 


物理 和 环境 安全 领域 包括 安全 区 域 和 设备 安全 两 个 控制 目标 。 
1. 安 全 区 域 


安全 区 域 的 控制 目标 是 防止 对 组 织 场所 和 信息 的 未 授权 物理 访问 、 损 坏 和 干扰 ， 关 键 或 敏感 的 信息 及 信息 处 理 设施 应 放 在 安 
全 区 域内 ， 并 受到 相应 保护 。 该 目标 可 能 通过 以 下 6 项 控制 措施 来 实现 。 


(1) 物理 安全 边界 


组 织 应 使 用 墙 、 卡 控制 的 入 口 或 有 人 管理 的 接待 台 等 屏障 形成 安全 边界 ， 保 护 包含 信息 和 信息 处 理 设施 的 区 域 。 此 项 措施 的 
常规 控制 包括 : 确保 所 有 关键 区 域 的 建筑 物 有 坚固 的 外 墙 、 门 、 房 项 及 地 板 ， 尤 其 要 确保 在 地 面 一 层 不 存在 易于 问 入 的 任何 缺 
口 ， 核 心 区 域 可 设置 多 重 物理 屏障 ; 所 有 墙 体 、 门 应 符合 消防 或 防火 相关 标准 的 要 求 ， 应 按 相关 标准 要 求 安装 物理 入 侵 检 测 系统 
并 确保 其 有 效 。 


(2) 物理 入 口 控制 


安全 区 域 应 由 适合 的 入 口 控制 所 保护 ， 确 保 只 有 授权 人 员 才 人 允许 访问 。 在 入 口 处 安装 门禁 系统 ， 安 排 保安 人 员 ， 设 置 前 台 及 
接待 登记 人 员 ， 并 安装 监控 系统 ; 记录 访问 者 进入 和 离开 的 日 期 和 时 间 ， 监 督 所 有 的 访问 者 ; 只 允许 访问 者 访问 特定 的 、 已 授权 
的 目标 ， 并 向 他 们 宣布 关于 该 区 域 的 安全 要 求 和 应 急 程序 说 明 。 访 问 处 理 敏 感 信 息 或 储存 敏感 信息 的 区 域 要 受到 控制 ， 并 且 仅 限 
于 已 授权 的 人 员 ， 对 关键 资源 的 访问 应 加 强身 份 认证 的 强度 ， 要 求 员工 在 遇 到 没有 内 部 人 员 陪 同 的 访问 者 和 未 佩戴 可 视 标 识 的 人 
员 时 要 立即 通知 保安 人 员 ， 保 留 所 有 访问 踪迹 并 妥善 保护 。 


(3) 办 公 室 、 房 间 和 设施 的 安全 保护 


应 为 办 公 室 、 房 间 和 设施 设计 并 采取 物理 安全 措施 。 此 项 措施 的 常规 控制 包括 : 建筑 和 设施 要 符合 健康 和 安全 相关 法 规 和 标 
准 ; 不 将 关键 设施 安置 在 公共 访问 区 ; 不 用 类 似 “ 机 房 重 地 ”等 字样 标示 机 房 等 天 键 区 域 ， 只 用 内 部 少数 相关 人 员 能 理解 的 标识 
来 标示 ; 保护 标识 信息 处 理 设施 的 图 表 、 目 录 和 内 部 通讯 录 ， 避 免 其 泄露 。 


(4) 外 部 和 环境 威胁 的 安全 防护 


为 防止 火灾 、 洪 水 、 地 震 、 爆 炸 、 社 会 动荡 和 其 他 形式 的 自然 或 人 为 灾难 引起 的 破坏 ， 组 织 应 设计 和 采取 物理 保护 措施 。 此 
项 措施 的 常规 控制 包括 : 制定 防护 措施 以 应 对 任何 邻近 区 域 所 带 来 的 安全 威胁 ， 例 如 ， 邻 近 建筑 物 的 火灾 、 屋 顶 漏水 或 地 下 室 地 
板 渗水 或 者 街 上 爆炸 等 ， 将 危险 或 易 燃 材料 存放 在 安全 距离 以 外 ， 避 免 遭 受 火灾 、 洪 水 、 地 震 、 爆 炸 及 其 他 形式 的 自然 灾难 或 人 


(5) 在 安全 区 域 工作 


应 设计 和 应 用 用 于 安全 区 域 工作 的 物理 保护 和 指南 。 此 项 措施 的 常规 控制 包括 : 不 让 无 关 人 员 知 道 安全 区 域 的 存在 或 其 中 的 
活动 ; 监视 关键 区 域 的 活动 ; 在 物理 上 锁 闭 未 使 用 的 安全 区 域 并 定期 予以 核查 ; 茶 止 在 非 授权 情况 下 携带 摄影 、 视 频 、 音 频 或 者 
其 他 记录 设备 进入 敏感 区 域 ， 对 工作 在 安全 区 域内 的 雇员 、 承 包 方 人 员 和 第 三 方 人 员 进行 控制 ， 安 排 内 部 雇员 全 程 陪 同 进入 安全 
区 域 的 外 部 人 员 。 


(6) 公共 访问 、 交 接 区 安全 


应 对 交接 区 等 访问 点 和 未 授权 人 员 可 进入 办 公 场 所 的 其 他 点 加 以 控制 ， 如 果 可 能 ， 将 这 些 区 域 与 信息 处 理 设施 隔离 ， 以 避免 
未 授权 访问 。 此 项 措施 的 常规 控制 包括 : 由 建筑 物 外 进入 交接 区 的 访问 限定 于 已 标识 和 已 授权 的 人 员 ; 当 内 部 的 门 打开 时 ， 交 接 
区 的 外 部 门 应 得 到 安全 保护 ;在 物理 上 隔离 进入 和 外 出 的 货物 ;货物 进入 时 要 检查 是 否 存 在 安全 风险 ， 检 查 通过 后 应 按照 资产 管 
理 要 求 进行 登记 。 


2. 设 备 安全 
此 项 控制 的 目标 是 防止 资产 的 丢失 、 损 坏 、 失 窃 或 危及 资产 安全 以 及 组 织 活 动 的 中 断 ， 有 以 下 7 项 控制 措施 保障 其 实现 。 
(1) 设备 安置 和 保护 


资产 的 管理 者 应 恰当 安置 或 保护 设备 ， 以 减少 由 环境 威胁 和 危险 所 造成 的 各 种 风险 以 及 未 授权 访问 的 机 会 。 此 项 措施 的 常规 
控制 包括 : 采取 措施 最 小 化 物理 威胁 造成 的 风险 ， 如 火灾 、 雷 电 、 干 扰 和 电磁 辐射 等 ， 监 测 物 理 环境 如 温度 、 湿 度 的 变化 ; 敏感 
言 息 处 理 设备 应 放置 在 限制 观测 的 受 控 区 域 ， 隔 离 需要 专门 保护 的 部 件 。 


(2) 支持 性 设施 


组 织 应 保护 设备 免 受 由 支持 性 设施 的 失效 而 引起 的 电源 故障 和 其 他 中 断 。 此 项 措施 的 常规 控制 有 : 确保 有 足够 的 支持 性 设施 
来 支持 系统 ， 例 如 供水 、 供 电 、 排 污 和 空调 等 ; 定期 检查 和 测试 支持 性 设施 以 确保 其 正常 工作 ; 为 关键 设备 配备 不 间断 电源 
(Uninterruptible Power Supply，UPS) ; 为 有 高 可 用 性 要 求 的 系统 配置 备用 发 电 系统 和 备用 通信 线路 。 


(3) 线 缆 安 全 

应 保证 支持 信息 服务 或 传输 数据 的 电源 线 绕 和 通信 线 统 免 受 损坏 或 窃听 。 此 项 措施 的 常规 控制 有 : 利用 线 缆 管 道 或 使 路 由 避 
开 公众 区 域 ， 以 免 遭 受 窃听 或 损坏 ; 将 电源 线 绕 与 通信 线 绕 分 开 以 防止 干扰 ， 对 线 缆 进行 标识 ;编制 并 使 用 文件 化 配 线 列表 以 减 
少 出 错 的 可 能 。 对 敏感 关键 系统 ， 可 采取 以 下 方法 加 强 保护 : 在 线 缆 两 端 接点 处 配置 带 锁 的 盒子 ， 或 锁 闭 其 所 在 房间 ; 使 用 防 电 
磁 辐 射 装 置 保 护 线 比 ; 对 连接 线 线 的 未 授权 装置 进行 物理 检查 和 | 清除， 控制 对 配 线 盘 和 线 线 室 的 访问 。 

(4) 设备 维护 

正确 地 维护 设备 ， 以 确保 其 持续 的 可 用 性 和 完整 性 。 此 项 措施 的 常规 控制 有 : 按照 供应 商 推 荐 的 服务 时 间 间 隔 和 规范 对 设备 


进行 维护 ， 只 允许 已 授权 的 维护 人 员 对 设备 进行 修理 和 维护 ， 在 维护 设备 之 前 删除 敏感 信息 或 卸 下 存储 介质 ; 保存 所 有 可 疑 或 实 
际 故 障 以 及 所 有 预防 和 纠正 维护 的 记录 等 。 


(5) 组 织 场所 外 的 设备 安全 


应 对 组 织 场所 外 的 设备 采取 安全 措施 ， 以 应 对 与 组 织 场 所 内 不 同 的 风险 。 此 项 措施 的 常规 控制 包括 : 制定 将 设备 带 离 组 织 场 
所 以 外 的 指南 或 程序 ;将 设备 带 离 组 织 场所 之 前 须 经 过 申请 审批 ; 用 伪装 包 携 带 设备 ;随身 携带 设备 而 不 要 将 其 寄存 在 宾馆 、 火 
车 站 等 处 ; 加 密 存 储 人 敏感 数据 ;在 外 出 前 备份 重要 文件 。 


(6) 设备 的 安全 处 置 和 再 利用 


包含 存储 介质 的 设备 在 处 置 之 前 ， 应 该 删除 或 安全 地 写 履 盖 其 中 存储 的 敏感 信息 和 注册 软件 。 一 般 情 况 ， 应 在 物理 上 摧毁 包 
含 敏感 信息 的 设备 ， 或 者 采用 使 原始 信息 不 可 再 获取 的 技术 删除 或 写 履 盖 ， 防 止 设备 敏感 信息 被 泄露 。 


(7) 资产 的 移动 


设备 、 信 息 或 软件 在 授权 之 前 不 应 带 出 、 带 入 组 织 场所 。 制 定 设备 移入 、 移 出 的 管理 程序 ， 明 确 有 权 移 动 资产 的 相关 人 员 ， 
限定 设备 移动 的 时 间 并 记录 移动 情况 。 未 经 授权 不 允许 移动 组 织 场所 的 设备 ， 返 回 的 设备 应 进行 符合 性 核查 。 


5.3.6 ”通信 和 操作 管理 
通信 和 操作 管理 领域 包括 10 个 控制 目标 : 操作 程序 和 职责 、 第 三 方 服务 交付 管理 、 系 统 规划 和 验收 、 防 范 恶意 代码 、 备 
份 、 网 络 安全 管理 、 介 质 处 置 、 信 息 交 换 、 电 子 商 务 服务 和 监视 。 
1. 操 作 程 序 和 职责 
操作 程序 和 职责 的 控制 目标 是 确保 正确 、 安 全 地 操作 信息 处 理 设 施 。 为 了 达到 这 一 目标 ， 需 要 落实 以 下 4 项 控制 措施 。 
(1) 文件 化 的 操作 程序 


操作 程序 应 形成 文件 ， 用 户 需要 时 可 以 随时 获取 。 对 关键 业务 操作 ， 如 天 键 设备 启动 和 关机 、 备 份 、 设 备 维护 、 介 质 处 理 、 
计算 机 机 房管 理 、 邮 件 处 置 管理 和 物理 安全 保护 等 ， 制 定 详细 的 操作 规范 或 管理 程序 ， 并 形成 文件 ， 经 适当 级 别 的 管理 者 审批 后 
发 布 ， 定 期 对 文件 进行 评审 和 修订 。 


(2) 变更 管理 


对 信息 处 理 设施 和 系统 的 变更 应 加 以 控制 。 此 项 措施 的 常规 控制 包括 : 变更 要 经 过 申请 审批 ; 严格 管理 和 控制 对 操作 系统 和 
应 用 软件 的 变更 ; 在 变更 实施 前 评估 变更 可 能 引起 的 风险 并 制定 处 置 措施 ， 在 变更 实施 前 为 应 对 变更 失败 制定 恢复 计划 ; 变更 实 
施 后 应 对 内 人 存 消耗 、 磁 盘 空 间 消耗 和 带宽 占用 等 系统 关键 指标 跟踪 一 段 时 间 ， 确 定 变更 没有 引起 不 良 影响 ， 生 成 并 保留 所 有 变更 
记录 。 


对 各 类 责任 及 职责 范围 应 加 以 分 割 ， 以 降低 未 授权 或 无 意识 的 修改 或 者 不 当 使 用 组 织 资产 的 机 会 。 此 项 措施 的 常规 控制 包 
括 : 分 割 关键 业务 过 程 ， 由 两 人 或 多 人 各 完成 一 部 分 ; 活动 的 授权 与 执行 由 不 同 的 人 负责 ; 根据 职责 分 割 原则 划分 不 同人 员 责 
任 。 


(4) 开发 、 测 试 和 运行 设施 分 离 


开发 、 测 试 和 运行 设施 应 分 离 ， 以 减少 未 授权 访问 或 改变 运行 系统 的 风险 。 此 项 措施 的 常规 控制 包括 : 根据 运行 系统 的 敏感 


和 重要 程度 决定 分 离 的 方式 ， 最 好 采用 物理 隔离 的 形式 ; 一般 不 在 运行 系统 上 安装 编译 器 、 编 辑 器 和 其 他 开发 工具 或 系统 实用 工 
具 ; 不 允许 将 敏感 数据 复制 到 测试 系统 ; 不 给 开发 人 员 、 测 试 人 员 分 配 运行 系统 的 访问 权限 。 


2. 第 三 方 服务 交付 管理 


第 三 方 服务 交付 管理 的 控制 目标 是 对 第 三 方 服务 进行 管理 ， 使 其 交付 的 服务 符合 第 三 方 服务 交付 协议 ， 并 保持 在 适当 水 平 。 
由 以 下 3 项 控制 措施 来 保障 这 一 控制 目标 的 实现 。 


(1) 服务 交付 


应 确保 第 三 方 实施 、 运 行 和 保持 包含 在 第 三 方 服务 交付 协议 中 的 安全 控制 措施 、 服 务 ， 并 达到 定义 的 交付 水 准 。 此 项 措施 的 
常规 控制 包括 : 组 织 与 第 三 方 接口 部 门 或 人 员 应 确保 第 三 方 交付 了 事先 商定 的 安全 服务 和 管理 ， 有 外 包 情 况 时 ， 组 织 应 对 信息 、 
言 息 处 理 设施 和 其 他 需要 移动 的 任何 资产 策划 必要 的 过 渡 或 转移 方案 ， 并 要 确保 整个 过 渡 期 间 的 安全 ; 确保 第 三 方 有 足够 的 服务 
能 力 和 有 效 的 计划 以 应 对 严重 故障 和 灾难 。 


(2) 第 三 方 服务 的 监视 和 评审 


组 织 应 定期 审核 和 评审 第 三 方 提供 的 服务 、 报 告 和 记录 。 此 项 措施 的 常规 控制 包括 : 监视 服务 级 别 ， 核 查 与 所 签 协议 的 符合 
度 ; 举行 定期 沟通 或 汇报 会 议 ; 评审 第 三 方 提交 的 服务 报告 ， 以 及 服务 相关 日 志 、 安 全 事态 及 事件 、 运 行 问题 和 相关 记录 ; 对 第 
三 方 访问 、 处 理 或 管理 的 敏感 或 关键 信息 及 信息 处 理 设施 的 所 有 安全 方面 保持 充分 的 、 全 面 的 控制 |。 


(3) 第 三 方 服务 的 变更 管理 


应 管理 第 三 方 提供 服务 的 变更 ， 包 括 改 进 现 有 的 信息 安全 策略 、 程 序 和 控制 措施 ， 并 考虑 其 对 业务 系统 和 涉及 过 程 的 影响 ， 
评估 其 风险 。 此 项 措施 的 常规 控制 包括 : 对 由 第 三 方 单方 面 引 发 的 变更 ， 在 接受 变更 前 ， 核 查 并 确认 变更 的 合理 性 ; 其 他 控制 
同 “1 操 作 程序 和 职责 ”中 的 “变更 管理 ”。 


3. 系 统 规划 和 验收 
系统 规划 和 验收 的 控制 目标 是 将 系统 失效 的 风险 降 至 最 小 。 为 达到 这 一 目标 需要 落实 容量 管理 和 系统 验收 这 2 项 控制 措施 。 
(1) 容量 管理 


应 监视 、 调 整 资源 的 使 用 ， 并 应 对 未 来 资源 需求 进行 预测 ， 以 确保 获得 所 需 的 系统 性 能 。 此 项 措施 的 常规 控制 包括 : 识别 并 
确定 每 一 个 正在 进行 的 和 新 的 活动 资源 要 求 ;， 使 用 监视 和 系统 调整 技术 掌握 关键 系统 资源 利用 情况 ， 提 高 系统 可 用 性 和 效率 ， 密 
切 关 注 与 长 订货 、 交 货 周期 或 高 成 本 相关 的 所 有 资源 ; 部 署 检测 措施 ， 及 时 发 现 问题 。 





(2) 系统 验收 


应 建立 对 新 信息 系统 、 升 级 及 新 版 本 的 验收 准则 ， 在 开发 中 和 验收 前 应 对 系统 进行 测试 。 此 项 措施 的 常规 控制 包括 : 制定 详 
细 、 严 格 的 验收 程序 和 准则 ;未 经 过 正式 验收 的 产品 ， 不 允许 进入 生产 运营 系统 ; 验收 程序 中 包括 性 能 测试 和 安全 性 测试 ， 需要 
时 ， 待 验收 产品 须 经 过 相应 的 认证 或 认可 。 


4. 防 范 恶意 代码 
范 恶 意 代 码 的 控制 目标 是 保护 软件 和 信息 的 完整 性 。 这 一 目标 的 实现 由 控制 恶意 代码 这 项 控制 措施 来 保障 。 


控制 恶意 代码 是 指 应 实施 恶意 代码 的 预防 、 监 测 及 系统 恢复 的 控制 措施 ， 制 定 相关 管理 要 求 ， 提 高 用 户 安全 意识 。 此 项 措施 
的 常规 控制 包括 : 及 时 安装 补丁 ; 安装 防 病毒 软件 并 及 时 更 新 程序 和 病毒 库 ; 设置 强 口令 ; 禁止 使 用 非 授 权 软 件 ， 禁 止 从 互联 网 


自行 下 载 并 安装 软件 ， 上 述 要 求 应 形成 制度 并 执行 ， 制 定 业务 连续 性 计划 ， 使 系统 遭受 恶意 代码 攻击 后 能 恢复 正常 运行 ， 并 防止 


5. 备 份 


备份 的 控制 目标 是 保持 信息 和 信息 处 理 设 施 的 完整 性 及 可 用 性 。 这 一 目标 由 信息 备份 控制 措施 来 保障 。 组 织 应 根据 信息 系统 
的 风险 和 业务 需求 制定 备份 策略 ， 定 期 备份 并 测试 系统 和 软件 ， 备 份 的 具体 过 程 和 内 容 请 参看 本 书 第 6 章 。 


6. 网 络 安全 管理 


网 络 安全 管理 的 控制 目标 是 确保 网 络 中 信息 和 支持 性 基础 设施 的 安全 性 。 由 2 项 控制 措施 来 保障 这 一 目标 的 实现 : 网 络 控制 
和 网 络 服务 安全 。 


(1) 网 络 控制 


应 充分 管理 和 控制 网 络 ， 维 护 网 络 系统 、 应 用 程序 和 信息 的 安全 ， 防 止 发 生 威胁 。 此 项 措施 的 常规 控制 包括 : 管理 和 控制 网 
络 的 连接 ， 实 施 网 络 准 入 控制 ， 防 范 违规 外 联 ; 管理 和 控制 对 网 络 资源 的 访问 ， 制 定 管理 要 求 和 职责 ; 保护 在 公共 网 络 和 无 线 网 
络 上 数据 传输 的 保密 性 和 完整 性 ， 对 网 络 活动 进行 记录 和 监视 等 。 


(2) 网 络 服务 安全 


网 络 服务 协议 应 包含 内 部 或 外 部 提供 服务 的 安全 特性 、 级 别 以 及 所 有 服务 管理 要 求 。 此 项 措施 的 常规 控制 包括 : 评估 网 络 服 
务 提供 商 的 能 力 ， 确 保 其 能 力 满足 所 需 服务 的 要 求 ， 服 务 需求 方 应 有 权 审 核 服 务 过 程 及 服务 内 容 ; 在 服务 协议 中 明确 服务 级 别 或 
水 平 、 安 全 要 求 、 管 理 要求 和 需要 落实 的 控制 措施 等 内 容 ， 确 保 网 络 服务 提供 商 实施 了 这 些 措施 。 


7. 介 质 处 置 
介质 处 置 控制 目标 旨 在 防止 资产 遭受 未 授权 泄露 、 修 改 、 移 动 、 销 毁 及 业务 活动 的 中 断 ， 由 以 下 2 项 控制 措施 来 实现 。 
(1) 可 移动 介质 的 管理 


此 项 控制 措施 是 指 应 制定 移动 介质 管理 规程 。 此 项 措施 的 主要 控制 包括 : 根据 组 织 的 业务 特点 ， 评 估 并 明确 哪些 部 门 或 岗位 
可 以 不 加 控制 地 使 用 移动 介质 ， 哪 些 部 门 或 岗位 允许 使 用 但 必须 管控 ， 哪 些 部 门 或 岗位 严禁 使 用 ;建立 移动 介质 的 申请 、 审 批 和 
核发 的 流程 ， 核 发 经 注册 的 移动 介质 ;对 移动 介质 的 使 用 进行 审计 等 。 


(2) 介质 的 处 置 


按照 一 定 程序 可 靠 并 安全 地 处 置 不 再 需要 的 介质 ， 以 避免 敏感 信息 泄露 。 此 项 措施 的 常规 控制 包括 : 制定 介质 报废 、 重 用 等 
管理 规定 ， 清 晰 定义 纸 介 质 、 磁 介质 和 光盘 等 介质 的 报废 、 重 用 等 详细 操作 步骤 ; 拟 报废 介质 一 般 采 用 焚化 或 粉碎 的 物理 损毁 方 
式 ; 对 重用 、 捐 赠 的 介质 ， 先 格式 化 ， 再 用 无 意义 的 数据 填 满 后 再 次 格式 化 。 


言 息 的 交换 控制 目标 旨 在 保持 组 织 内 以 及 与 外 部 组 织 信息 和 软件 交换 的 安全 ， 有 以 下 4 项 控制 措施 保障 这 一 目标 的 实现 。 
(1) 信息 交换 策略 和 规程 


应 有 正式 的 信息 和 软件 交换 策略 、 规 程 和 控制 措施 ， 保 护 各 种 类 型 通信 设施 的 信息 交换 。 此 项 措施 的 常规 控制 包括 : 明确 规 
定 各 类 别 或 级 别 信息 对 内 、 对 外 交换 的 审批 流程 ;明确 规定 通过 纸 介 质 、E-mail、 及 时 通信 工具 、 传 真 和 视频 会 议 等 方式 进行 信 
息 交 换 的 安全 要 求 ; 明确 规定 在 电梯 、 和 餐厅 和 机 场 等 公共 场所 ， 当 有 其 他 人 在 附近 时 ， 不 允许 提 及 敏感 信息 等 。 


(2) 交换 协议 


应 建立 组 织 与 外 部 各 方 交换 信息 和 软件 的 协议 。 此 项 措施 的 常规 控制 包括 : 规定 信息 传输 、 分 发 和 接收 等 相关 职责 及 流程 ; 
要 求生 成 并 保存 交换 记录 和 日 志 ， 使 用 手工 签名 、 电 子 签名 等 技术 确保 可 追溯 性 和 不 可 抵赖 性 ;制定 信息 封装 和 传输 的 最 低 安 全 
技术 标准 ; 规定 数据 丢失 、 泄 露 等 信息 安全 事件 的 责任 ; 明确 数据 保护 、 版 权 、 软 件 许可 证 符合 性 等 责任 和 职责 。 


(3) 运输 中 的 物理 介质 


包含 信息 的 介质 在 运送 过 程 中 ， 应 防止 未 授权 访问 、 不 当 使 用 或 毁坏 。 此 项 措施 的 常规 控制 包括 : 使 用 可 靠 的 经 管理 者 批准 
的 运输 入 员 ; 包含 敏感 或 重要 信息 的 介质 应 密封 或 加 锁 ， 可 由 双人 押送 ; 包装 要 足以 保护 信息 在 运输 期 间 免 遭 可 能 出 现 的 任何 物 
理 损 坏 ， 例 如 防止 由 于 暴露 于 过 热 、 潮 湿 或 电磁 区 域 而 导致 信息 受 损 。 


(4) 电子 消息 发 送 


电子 消息 在 发 送 中 应 给 予 适当 保护 。 此 项 措施 的 常规 控制 包括 : 使 用 密码 算法 加 密 敏感 消息 ; 使 用 基于 哈 希 的 消息 认证 码 
(Hash-based Message Authentication Code，HMAC) 等 算法 对 有 完整 性 要 求 的 消息 进行 保护 ; 使 用 数字 签名 技术 对 有 不 
可 否认 性 需求 的 消息 进行 保护 。 


9. 电 子 商务 服务 
电子 商务 服务 的 控制 目标 旨 在 确保 电子 商务 服务 及 使 用 的 安全 。 以 下 2 项 控制 措施 保障 这 一 目标 的 实现 。 
(1) 电子 商务 


使 用 公共 网 络 的 电子 商务 中 的 信息 应 受到 保护 ， 以 防止 欺诈 活动 、 合 同 争议 和 未 授权 的 泄露 和 修改 。 此 项 措施 的 常规 控制 包 
括 : 使 用 强身 份 认 证 技术 验证 交易 双方 的 身份 ， 设 定价 格 、 发 布 或 签署 关键 交易 文件 应 经 过 审批 :设计 严密 的 电子 商务 流程 ， 避 
免 任 何 琉 漏 ; 使 用 密码 技术 对 收 件 地 址 、 收 件 人 及 电话 等 信息 的 保密 性 和 完整 性 ， 以 及 订单 或 合同 及 支付 信息 的 保密 性 、 完 整 性 
和 不 可 否认 性 进行 保护 。 


(2) 在 线 交 易 


保护 在 线 交 易 中 的 信息 ， 以 防止 不 完全 传输 、 错 误 路 由 、 消 息 篡改 、 泄 露 ， 以 及 未 授权 的 消息 复制 或 重 放 。 此 项 措施 的 常规 
控制 包括 : 使 用 数字 签名 技术 对 在 线 支 付 信息 的 完整 性 和 不 可 否认 性 进行 保护 ; 使 用 加 密 技术 对 在 线 支付 信息 的 保密 性 进行 保 
护 ; 在 认证 及 签名 管理 过 程 中 使 用 可 信 权 威 机 构 。 


10 .监视 
监视 的 控制 目标 是 检测 未 经 授权 的 信息 处 理 活 动 ， 由 下 列 6 项 控制 措施 来 实现 。 
(1) 审计 日 志 


采集 用 户 活动 、 异 常 和 信息 安全 事态 ， 生 成 日 志 并 保存 一 定 的 期 限 。 此 项 措施 的 常规 控制 包括 : 对 登录 、 退 出 和 关键 操作 等 
活动 进行 日 志 记 录 ; 合理 设计 日 志 格 式 以 支持 按 特 定 条 件 查 询 ; 明确 每 种 日 志 的 保存 期 限 。 


(2) 监视 系统 的 使 用 


建立 信息 处 理 设施 使 用 的 监视 程序 ， 定 期 对 监视 结果 进行 评审 。 明 确 监视 系统 使 用 的 相关 职责 、 责 任 人 ; 明确 监视 的 范围 ， 
通常 包括 授权 访问 、 特 殊 权限 操作 ， 例 如 特殊 权限 账号 的 使 用 、 系 统 的 启动 和 停止 等 ， 未 授权 的 访问 尝试 ， 例 如 失败 的 或 被 拒绝 
的 用 户 行为 、 入 侵 检测 系统 的 报警 等 ;系统 警报 或 故障 ， 例 如 控制 台 报 警 或 消息 、 系 统 噶 常 日 志 等 ; 以 及 改变 或 企图 改变 系统 的 


安全 设置 和 控制 措施 的 行为 。 
(3) 日 志 信 息 的 保护 


日 志 信息 的 保护 控制 措施 是 指 防止 日 志 记 录 设 施 和 日 志 信息 遭受 到 未 授权 访问 和 纂 改 。 此 项 措施 的 常规 控制 包括 : 实时 将 主 
系统 日 志 同 步 到 远 端的 日 志 服 务 器 ; 限制 日 志 管理 员 以 外 的 人 对 日 志 进 行 访问 ;对 需要 访问 日 志 的 人 员 授 予 只 读 权 限 。 


(4) 管理 员 和 操作 员 日 志 


将 系统 管理 员 和 系统 操作 员 的 活动 记 入 日 志 。 应 记录 事态 或 故障 的 相关 信息 ， 涉 及 的 账号 及 过 程 等 ; 定期 评审 管理 员 和 操作 


员 日 志 。 
(5) 故障 日 志 
记录 并 分 析 故 障 ， 采 取 适 当 的 故障 处 理 措施 。 记 录 系 统 和 用 户 报告 的 故障 ， 明 确 故障 处 理 规 程 ， 评 审 故障 日 志 及 纠正 措施 。 
(6) 时 钟 同步 


一 个 组 织 或 安全 域内 的 所 有 相关 信息 处 理 设施 的 时 钟 应 使 用 精确 时 间 源 进行 同步 。 此 项 措施 的 常规 控制 包括 : 配备 网 络 时 间 
协议 (Network Time Protocol，NTP) 服务 器 ， 同 步 所 有 重要 设备 的 时 间 ; 若 需要 精确 时 间 ， 可 将 NTP 服 务 器 的 时 间 与 国家 
原子 钟 无 线 电 广 播 时 间 同 步 。 


5.3.7 ”访问 控制 

控制 用 户 对 信息 的 访问 包括 访问 控制 的 业务 要 求 、 用 户 访问 管理 、 用 户 职责 、 网 络 访问 控制 、 操 作 系 统 访问 控制 、 应 用 和 信 
息 访问 控制 、 移 动 计算 和 远程 工作 7 个 控制 目标 。 

1. 访 问 控制 的 业务 要 求 


访问 控制 的 业务 要 求 的 控制 目标 是 基于 业务 目标 和 业务 原则 来 控制 对 信息 的 访问 。 该 目标 由 访问 控制 策略 这 一 控制 措施 来 实 
现 。 


以 业务 和 访问 的 安全 要 求 为 依据 ， 制 定 访问 控制 策略 文件 。 此 项 措施 的 常规 控制 包括 : 在 访问 控制 策略 中 清晰 规定 每 个 用 户 
或 每 组 用 户 的 访问 控制 规则 和 权限 ， 访 问 控制 包括 逻辑 和 物理 措施 ; 规定 除了 明确 允许 访问 的 ， 其 他 一 切 资源 禁止 访问 ; 定期 对 
访问 权限 进行 评审 。 


2. 用 户 访问 管理 


用 户 访问 管理 的 控制 目标 是 确保 授权 用 户 能 够 访问 信息 系统 ， 防 止 非 授 权 的 访问 。 可 以 通过 以 下 4 项 控制 措施 来 保障 这 一 目 
标的 实现 。 

(1) 用 户 注册 

通过 正式 的 用 户 注册 及 注销 程序 ， 授 权 和 撤销 对 所 有 信息 系统 及 服务 的 访问 。 此 项 措施 的 常规 控制 包括 : 使 用 唯一 的 用 户 标 


识 ; 仅 授予 用 户 能 完成 本 职工 作 的 最 小 权限 ， 要 求 用 户 签署 访问 相关 条 件 和 限制 的 书面 声明 ; 维护 注册 、 授 权 的 正式 记录 ; 当 用 
户 离 开 组 织 或 岗位 发 生变 化 时 ， 应 注销 或 调整 用 户 访问 权 。 


(2) 特殊 权限 管理 


特殊 权限 管理 控制 措施 是 指 限制 和 控制 特殊 权限 的 分 配 及 使 用 。 此 项 措施 的 常规 控制 包括 : 确定 每 个 系统 (如 操作 系统 、 数 
据 库 、 关 键 应 用 ) 的 特殊 权限 ， 以 及 预期 的 授权 用 户 ; 需要 时 才 | 临 时 分 配 特殊 权限 ， 如 远程 登录 关键 设备 (以 诊断 并 排除 故障 ) 
的 权限 ; 维护 特殊 权限 的 授权 过 程 、 授 权 原因 及 关键 操作 的 记录 。 


(3) 用 户口 令 管 理 


用 户口 令 管理 控制 措施 是 指 通过 正式 的 管理 过 程控 制 口令 的 分 配 。 此 项 措施 的 常规 控制 包括 : 在 提供 一 个 新 的 、 代 蔡 的 或 临 
时 的 口令 之 前 ， 验 证 用 户 身份 ; 禁止 以 明文 形式 将 口令 存储 在 计算 机 系统 内 ; 在 系统 或 软件 安装 后 立即 修改 默认 口令 等 。 


(4) 用 户 访问 权 的 复查 


管理 者 应 按照 一 定 过程 定 期 审核 用 户 的 访问 权 。 制 定 访问 权限 复查 的 制度 ， 明 确 相关 责任 人 、 一 般 权限 的 复查 周期 (例如 6 
个 月 ) 和 特殊 权限 的 复查 周期 (例如 3 个 月 ) ; 保留 权限 复查 的 详细 记录 。 


3. 用 户 职责 


用 户 职责 的 控制 目标 是 防止 未 授权 用 户 对 信息 和 信息 处 理 设施 的 访问 、 危 害 或 窃取 。 这 一 目标 的 实现 需要 用 户 落 实 以 下 3 项 
控制 措施 。 


(1) 口令 使 用 


用 户 在 选择 及 使 用 口令 时 ， 要 遵循 良好 的 安全 习惯 。 此 项 措施 的 常规 控制 包括 : 要 求 所 有 用 户 对 自己 的 口令 保密 ; 设置 复杂 
口令 ， 例 如 至 少 8 位 ， 易 于 记忆 但 别人 难以 猜测 ， 由 大 小 写字 母 、 数 字 和 特殊 字符 4 种 元 素 混合 构成 ;初次 登录 时 重 设 临 时 口 


从 
Xo 


(2) 无 人 值守 的 用 户 设备 


用 户 应 保证 无 人 值守 设备 的 安全 、 正 常 运行 。 设 备 使 用 完成 后 应 及 时 退出 登录 状态 ， 当 设备 不 再 使 用 时 应 使 其 免 受 未 授权 使 
用 。 


(3) 清空 桌面 和 屏幕 策略 


用 户 离开 座位 时 应 清空 桌面 文件 并 锁定 信息 处 理 设备 屏幕 ， 移 动 存储 介质 中 存储 的 信息 应 及 时 清除 。 此 项 措施 的 常规 控制 包 
括 : 用 户 在 离开 座位 时 ， 不 要 将 合同 和 重要 资料 等 敏感 文件 、U 盘 等 移动 介质 和 门禁 卡 等 物品 放 在 桌面 上 ; 离开 前 锁 上 文件 柜 、 
抽 居 等 并 拔 下 钥匙 ; 离开 时 锁定 电脑 屏幕 ; 使 用 公共 区 域 的 打印 机 时 ， 应 立即 到 打印 机 旁 等 待 打印 完毕 ， 并 马上 取 走 打印 件 。 


4. 网 络 访问 控制 
网 络 访问 控制 目标 旨 在 防止 对 网 络 服务 的 未 授权 访问 ， 可 以 通过 以 下 2 项 控制 措施 来 保障 此 目标 的 实现 。 
(1) 使 用 网 络 服务 的 策略 


用 户 仅 能 访问 授权 使 用 的 服务 。 此 项 措施 的 常规 控制 包括 : 基于 业务 目标 和 业务 特点 制定 关于 使 用 网 络 和 网 络 服务 的 策略 ， 
例如 允许 被 访问 的 网 络 和 网 络 服务 、 确 定 访问 授权 规程 及 访问 方法 等 。 


(2) 网 络 隔离 


应 在 网 络 中 隔离 信息 服务 、 用 户 及 信息 系统 。 此 项 措施 的 常规 控制 包括 : 将 大 型 网 络 分 成 独立 的 逻辑 网 络 域 ， 例 如 ， 组 织 能 


内 部 网 络 域 和 外 部 网 络 域 ， 对 每 个 域 的 安全 边界 进行 保护 ， 如 部 署 防火 墙 、 安 全 网 天 等 设备 ;对 不 同 的 域 给 予 不 同 级 别 的 安全 防 
护 ; 将 无 线 网 络 与 内 部 和 专用 网 络 隔离 ; 将 敏感 网 络 与 其 他 网 络 隔离 等 。 


5. 操 作 系统 访问 控制 
操作 系统 访问 控制 的 目标 是 防止 对 操作 系统 的 未 授权 访问 ， 可 以 通过 以 下 4 项 控制 措施 保障 该 目标 的 实现 。 
(1) 安全 登录 规程 


操作 系统 访问 应 遵循 安全 登录 规程 。 登 录 程 序 设计 时 应 尽 可 能 少 地 泄露 有 关系 统 的 信息 ， 从 而 避免 给 未 授权 用 户 提供 任何 帮 
助 。 例 如 ， 不 告诉 验证 失败 的 用 户 是 口令 错 还 是 账号 不 存在 ; 限制 尝试 登录 次 数 ， 例 如 连续 3 次 验证 失败 系统 将 禁用 账号 一 段 时 
间 ; 限制 登录 的 最 短 和 最 长 时 间 等 。 





(2) 用 户 标识 和 鉴别 


所 有 用 户 应 有 了 唯一 的 、 专 供 其 个 人 使 用 的 用 户 身份 标识 符 (ldentity，ID) ， 根 据 需要 选择 合适 的 鉴别 技术 证 实用 户 所 宣称 
的 身份 。 此 项 措施 的 常规 控制 包括 : 为 所 有 用 户 注 册 唯 一 账号 ， 避 免 共享 账号 ;普通 用 户 活动 不 宜 使 用 有 特殊 权限 的 账户 执行 ; 
对 于 执行 关键 操作 的 用 户 实施 强身 份 认证 ， 如 口令 加 生物 特征 的 双 因 素 认证 。 


(3) 口令 管理 系统 


口令 管理 系统 控制 措施 是 指 口令 管理 系统 是 交互 式 的 ， 并 确保 是 优质 的 口令 。 此 项 措施 的 常规 控制 包括 : 允许 用 户 选择 和 变 
更 自己 的 口令 ; 强制 用 户 选 择优 质 口 令 ; 强制 用 户 在 一 段 时 间 后 更 改口 令 ; 维护 用 户 曾经 使 用 过 的 口令 以 防止 重复 使 用 ; 将 口令 
文件 和 系统 其 他 文件 分 开 储存 ;以 安全 的 方式 存储 和 传输 口令 。 例 如 ， 存 储 和 传输 口令 的 哈 希 值 。 


(4) 系统 实用 工具 的 使 用 


此 项 控制 措施 是 指 对 可 能 超越 系统 和 应 用 程序 控制 措施 的 实用 工具 的 使 用 应 加 以 限制 并 严格 控制 。 此 项 措施 的 常规 控制 包 
括 : 对 系统 实用 工具 使 用 标识 、 鉴 别 和 授权 规程 ; 将 使 用 系统 实用 工具 的 用 户 限制 到 可 信 的 、 已 授权 的 最 小 实际 用 户 数 ; 记录 系 
统 实用 工具 的 所 有 使 用 ; 移 除 或 禁用 所 有 不 必要 的 实用 工具 和 系统 软件 。 


6. 应 用 和 信息 访问 控制 


应 用 和 信息 访问 控制 的 目标 是 防止 对 应 用 系统 中 信息 的 未 授权 访问 。 这 一 目标 的 实现 由 信息 访问 限制 这 项 控制 措施 来 保障 。 
该 控制 措施 是 指 依照 已 确定 的 访问 控制 策略 ， 限 制 用 户 和 支持 人 员 对 信息 和 应 用 系统 功能 的 访问 。 按 照 最 小 授权 原则 和 须知 原则 
对 用 户 进行 授权 ， 控 制 用 户 的 读 、 写 、 删 除 和 执行 等 权限 。 


7. 移 动 计算 和 远程 工作 


移动 计算 和 远程 工作 的 控制 目标 是 确保 使 用 移动 计算 和 远程 工作 设施 时 的 信息 安全 。 移 动 计 算 和 通信 、 远 程 工作 这 两 项 控制 
措施 来 保障 该 目标 的 实现 。 


(1) 移动 计算 和 通信 


移动 计算 和 通信 控制 措施 是 指 应 制定 正式 策略 并 且 采 用 适当 的 安全 措施 ， 以 防范 使 用 移动 计算 和 通信 设施 时 所 造成 的 风险 。 
此 项 措施 的 常规 控制 包括 : 评估 并 确定 允许 被 移动 访问 的 内 部 局 域 网 资源 ; 使 用 安全 系统 对 移动 访问 进行 保护 ; 使 用 强身 份 认证 
技术 对 移动 访问 用 户 进行 身份 认证 ; 对 移动 计算 和 通信 设施 进行 保护 以 防 丢失 和 被 窃 。 


(2) 远程 工作 


此 项 控制 措施 是 指 为 远程 工作 活动 开发 和 实施 策略 、 操 作 计划 和 程序 。 此 项 措施 的 常规 控制 包括 : 评估 并 确定 允许 远程 访问 
的 内 部 局 域 网 资源 ; 使 用 安全 设备 对 远程 访问 进行 保护 ;使 用 强身 份 认证 技术 对 远程 访问 用 户 进行 身份 认证 。 


5.3.8 ”信息 系统 获取 、 开 友和 维护 

言 息 系统 获取 、 开 发 和 维护 这 一 领域 有 6 项 控制 目标 : 信息 系统 的 安全 需求 、 应 用 中 的 正确 处 理 、 密 码 控制 、 系 统 文件 安 
全 、 开 发 和 支持 过 程 中 的 安全 、 技 术 脆弱 性 管理 。 

1 信息 系统 的 安全 需求 


言 息 系 统 安全 需求 的 控制 目标 是 确保 安全 是 信息 系统 的 一 个 有 机 组 成 部 分 。 安 全 需求 分 析 和 说 明 保 障 这 一 目标 的 实现 。 在 新 
言 息 系 统 或 增强 已 有 信息 系统 的 业务 需求 中 应 包含 安全 需求 。 在 信息 系统 的 需求 分 析 阶 段 ， 全 面 识 别 并 确定 信息 安全 需求 ， 并 在 
需求 分 析 说 明 书 中 详细 描述 安全 需求 。 


2. 应 用 中 的 正确 处 理 


应 用 中 的 正确 处 理 的 控制 目标 是 防止 应 用 系统 中 信息 的 错误 、 遗 失 、 非 授权 修改 及 误 用 ， 以 下 4 项 控制 措施 可 保障 这 一 目标 
的 实现 。 


(1) 输入 数据 验证 


验证 输入 应 用 系统 的 数据 ， 以 确保 数据 是 正确 且 恰 当 的 。 此 项 措施 的 常规 控制 包括 : 限制 所 有 输入 数据 的 长 度 ， 校 验 其 格 
式 ， 拒 绝 正常 范围 以 外 的 值 ， 过 滤 特 殊 字符 等 。 


(2) 内 部 处 理 的 控制 


将 核查 机 制 整合 到 应 用 中 ， 检 查 由 于 系统 处 理 、 环 境 干 扰 或 人 为 故意 造成 的 信息 错误 。 应 用 系统 的 设计 和 实现 应 有 故障 处 理 
机 制 ， 例 如 ， 防 止 程序 错误 运行 等 ; 制定 核查 列表 ， 保 证 核查 结果 的 安全 性 ， 核 查 内 容 可 包括 应 用 程序 运行 时 刻 是 否 正确 ， 传 输 
数据 或 软件 的 完整 性 。 


(3) 1 消息 / 己 、: 完整 整 性 
消息 完整 性 控制 措施 是 指 识别 消息 的 真实 性 和 完整 性 需求 ， 并 采取 适当 措施 来 满足 需求 。 评 估 消 息 的 完整 性 风险 ， 使 用 数字 
签名 等 密码 算法 保护 消息 。 


(4) 输出 数据 验证 


输出 数据 验证 控制 措施 是 指 验证 从 应 用 系统 输出 的 数据 ， 以 确保 输出 是 合理 的 。 此 项 措施 的 常规 控制 包括 : 定义 数据 输出 过 
程 所 涉及 的 全 部 人 员 的 职责 ; 对 输出 数据 进行 合理 性 检查 ; 创建 数据 输出 验证 过 程 日 志 。 


3. 密 码 控制 
密码 控制 的 目标 是 通过 密码 方法 保护 信息 的 保密 性 、 真 实 性 或 完整 性 ， 由 以 下 2 项 控制 措施 来 保障 这 一 目标 的 实现 。 
(1) 使 用 密码 控制 的 策略 


使 用 密码 控制 措施 是 指 开发 和 实施 使 用 密码 控制 措施 来 保护 信息 的 策略 。 此 项 措施 的 常规 控制 包括 : 基于 组 织 的 业务 特点 评 


估 各 种 数据 的 保密 性 、 完 整 性 和 不 可 否认 性 等 方面 的 保护 需求 ， 确 定 需要 使 用 的 密码 技术 ， 以 及 密码 算法 、 密 钥 管理 等 ;明确 密 
码 策略 实施 的 角色 和 职责 。 


(2) 密 钥 管理 


密 钥 管理 控制 措施 是 指 对 密 钥 进行 管理 以 支持 组 织 使 用 密码 技术 。 此 项 措施 的 常规 控制 包括 : 制定 密 钥 生 成 、 分 发 、 更 新 、 
备份 、 归 档 和 销毁 等 覆盖 密 钥 全 生命 周期 的 密 钥 管 理 规定 和 技术 要 求 ， 以 保护 所 有 的 密 钥 免 遭 泄露 、 丢 失 和 和 毁坏 。 


4. 系 统 文 件 的 安全 
系统 文件 的 安全 的 控制 目标 是 确保 系统 文件 的 安全 ， 由 以 下 3 项 控制 措施 来 实现 。 
(1) 运行 软件 的 控制 


运行 软件 控制 措施 是 指 制定 程序 来 控制 在 运行 系统 上 安装 软件 。 此 项 措施 的 常规 控制 包括 : 为 每 台 生产 服务 器 和 其 他 关键 生 
产 设 备 制定 允许 安装 的 软件 清单 ， 严 禁 在 生产 系统 中 安装 清单 以 外 的 任何 程序 ;未 经 批准 不 能 在 生产 系统 中 安装 源 代 码 和 编译 程 
序 ; 对 生产 运行 系统 的 软 、 硬 件 进行 配置 管理 。 


(2) 系统 测试 数据 的 保护 


系统 测试 数据 的 保护 控制 措施 是 指 仔细 选择 、 保 护 和 控制 测试 数据 ， 以 避免 因 测试 引起 敏感 信息 泄露 。 此 项 措施 的 常规 控制 
包括 : 使 用 构造 的 无 意义 数据 进行 测试 ， 避 免 使 用 包含 个 人 信息 或 其 他 敏感 信息 的 运行 数据 用 于 测试 ， 当 需要 使 用 包含 敏感 信息 
的 生产 运行 系统 的 真实 数据 测试 时 ， 应 脱 密 处 理 ， 每 次 复制 运行 系统 信息 到 测试 系统 时 均 须 经 过 独立 的 授权 ; 在 测试 完成 之 后 ， 
立即 清除 测试 系统 中 的 运行 系统 信息 ; 保留 运行 信息 的 拷贝 和 使 用 日 志和 记录 。 


(3) 对 程序 源 代码 的 访问 控制 


对 程序 源 代码 的 访问 控制 措施 是 指 限 制 对 程序 源 代码 的 访问 。 此 项 措施 的 常规 控制 包括 : 将 源 代码 以 及 对 应 的 需求 、 设 计 和 
测试 等 文档 存储 于 专门 的 服务 器 ;严格 控制 对 源 代码 及 对 应 文档 的 访问 ， 禁 止 非 授权 读 取 、 复 制 和 修改 ; 源码 及 对 应 文档 应 按照 


规定 进行 管理 。 
5. 开 发 和 支持 过 程 中 的 安全 
开发 和 支持 过 程 中 的 安全 目标 是 维护 应 用 系统 软件 和 信息 的 安全 ， 由 以 下 4 项 控制 措施 来 实现 。 
(1) 变更 控制 程序 


变更 控制 程序 控制 措施 是 指 制定 并 使 用 正式 的 变更 控制 程序 控制 变更 的 实施 。 此 项 措施 的 常规 控制 包括 : 建立 正式 的 变更 控 
制程 序 控制 需求 、 设 计 和 源码 的 变更 ， 强 制 实施 变更 的 申请 、 审 批 流程 ; 维护 所 有 变更 请 求 的 审核 ; 对 批准 的 变更 进行 风险 评估 
及 变更 影响 分 析 ， 并 制定 相应 的 措施 防范 识别 的 风险 。 


(2) 操作 系统 变更 后 应 用 的 技术 评审 


操作 系统 变更 后 应 用 的 技术 评审 控制 措施 是 指 当 操作 系统 发 生变 更 后 ， 对 业务 的 关键 应 用 进行 评审 和 测试 ， 以 确保 对 组 织 能 
运行 和 安全 没有 负面 影响 。 此 项 措施 的 常规 控制 包括 : 在 对 服务 器 等 关键 设备 实施 操作 系统 变更 之 前 进行 适当 的 测试 和 评审 ; 变 
更 实施 后 对 关键 业务 应 用 系统 进行 测试 ， 确 保 主 要 操作 能 够 正常 执行 ， 操 作 系 统 变 更 后 及 时 对 业务 连续 性 计划 等 相关 文件 进行 更 


新 。 


(3) 软件 包 变更 的 限制 


软件 包 变 更 的 限制 控制 措施 是 指 只 在 必要 时 才 允 许 变更 软件 包 ， 并 需 对 变更 进行 严格 控制 。 此 项 措施 的 常规 控制 包括 : 在 需 
变更 厂商 提供 的 软件 包 时 ， 尝 试 从 厂商 获得 需要 的 变更 ;在 必须 修改 软件 包 时 ， 应 评估 内 置 控 制 措施 和 完整 性 过 程 被 损坏 的 风 
险 ， 并 保留 原始 软件 。 


(4) 外 包 软 件 开 发 


外 包 软 件 开发 控制 措施 是 指 组 织 管理 和 监视 外 包 软 件 的 开发 。 此 项 措施 的 常规 控制 包括 : 事先 商定 好 许可 证 协议 、 代 码 所 有 
权 和 知识 产权 ; 安装 前 ， 检 测 软件 中 是 否 包含 恶 意 代 码 和 非 授权 代码 ; 委托 专门 的 软件 测评 或 认证 机 构 对 代码 的 质量 和 安全 性 进 
行 测评 或 认证 等 。 


6 .技术 脆弱 性 管理 
技术 脆弱 性 管理 的 控制 目标 是 降低 利用 公布 的 技术 脆弱 性 导致 的 风险 。 由 技术 脆弱 性 控制 措施 来 保障 这 一 目标 的 实现 。 


技术 脆弱 性 控制 是 指 及 时 获取 现 用 信息 系统 技术 脆弱 性 的 信息 ， 评 价 组 织 对 这 些 脆弱 性 的 暴露 程度 ， 并 采取 适当 的 措施 来 处 
理 相关 风险 。 此 项 措施 的 常规 控制 包括 : 定义 和 建立 与 技术 脆弱 性 管理 相关 的 角色 、 职 责 和 管理 过 程 ， 包 括 脆弱 性 监视 、 脆 弱 性 
评估 、 安 装 补丁 和 其 他 责任 ; 定期 评估 技术 脆弱 性 管理 的 有 效 性 ; 若 只 有 脆弱 性 揭示 而 没有 相应 的 补丁 ， 则 应 及 时 采取 其 他 | 临时 
保护 措施 。 


5.3.9 ”符合 性 


符合 性 这 一 领域 包括 3 项 控制 目标 : 符合 法 律 要 求 、 符 合 安全 策略 和 标准 以 及 技术 符合 性 、 信 息 系统 审核 考虑 。 
1. 符 合法 律 要 求 


符合 法 律 要 求 的 控制 目标 是 避免 违反 任何 法 律 、 法 令 、 法 规 或 合同 义务 ， 以 及 任何 安全 要 求 。 这 一 控制 目标 由 以 下 5 项 控制 
措施 来 保障 实现 。 


(1) 可 用 法 律 的 识别 


可 用 法 律 的 识别 控制 措施 是 指 识别 与 组 织 业 务 和 信息 系统 相关 的 所 有 法 律 、 法 规 和 合同 要 求 ， 明 确 为 满足 这 些 要 求 所 采用 的 
方法 ， 将 这 些 内 容 编制 成 文件 并 保持 更 新 。 此 项 措施 的 常规 控制 包括 : 指派 专门 的 部 门 或 人 员 负 责 识别 与 组 织 业务 运营 相关 的 法 
律 、 法 规 和 合同 要 求 ， 并 跟踪 这 些 方 面 的 变化 ; 组织 相 关 人 员 学 习 相 关 的 法 律 、 法 规 和 合同 的 相关 条 款 ; 将 这 些 条 款 的 要 求 加 入 
组 织 的 规章 、 制 度 、 标 准 或 规范 中 ， 使 其 变 成 组 织 内 部 的 “法 ”。 


(2) 知识 产权 


知识 产权 控制 措施 是 指 实施 适当 的 程序 ， 以 确保 在 使 用 具有 知识 产权 的 材料 和 具有 所 有 权 的 软件 产品 时 ， 符 合法 律 、 法 规 和 
合同 的 要 求 。 此 项 措施 的 常规 控制 包括 : 仅 通 过 知名 和 且 信誉 良好 的 渠道 购买 或 获取 软件 ， 以 确保 不 侵犯 版 权 ， 避 免 发 生 付 费 买 来 
的 软件 本 身 却 是 盗版 软件 的 事情 ; 识别 具有 知识 产权 要 求 的 所 有 资产 。 


(3) 保护 组 织 的 记录 


防止 重要 记录 的 遗失 、 毁 坏 和 伪造 ， 以 满足 法 律 、 法 规 、 合 同和 业务 的 要 求 。 此 项 措施 的 常规 控制 包括 : 在 组 织 的 制度 中 明 
确 要 求 保留 各 种 重要 活动 、 事 件 、 操 作 的 相关 记录 、 日 志和 单 证 等 ， 并 明确 每 种 记录 的 保存 期 限 ， 保 存 期 限 应 满足 业务 运营 、 法 
律 、 法 规 的 要 求 ， 以 及 能 够 应 对 可 能 发 生 的 诉讼 ;制定 措施 确保 不 因 存 储 介质 性 能 下 降 而 导致 数据 丢失 ; 实施 适当 的 保护 措施 以 


防止 记录 被 自 改 、 毁 坏 或 永久 丢失 。 
(4) 数据 保护 和 个 人 信息 的 隐私 


依照 相关 法 律 、 法 规 和 合同 条 款 的 要 求 ， 确 保 业 务 运营 数据 和 个 人 信息 的 安全 。 此 项 措施 的 常规 控制 包括 : 制定 和 实施 组 织 
业务 数据 和 个 人 信息 保护 策略 ; 明确 相关 人 的 保护 职责 ; 将 该 策略 通知 到 涉及 组 织 业务 数据 和 个 人 信息 处 理 的 所 有 人 员 ; 落实 相 
关 的 保护 措施 ， 如 从 技术 上 控制 不 能 将 业务 数据 和 个 人 信息 从 系统 中 复制 出 来 等 ， 以 及 落实 审核 机 制 。 


(5) 密码 控制 措施 的 规则 


密码 控制 措施 的 规则 控制 措施 是 指 在 遵从 相关 法 律 、 法 规 和 协议 的 前 提 下 使 用 密码 控制 措施 。 此 项 措施 的 常规 控制 包括 : 密 
码 产 品 的 选择 和 使 用 符合 我 国 相关 法 律 法 规 的 要 求 ， 如 《商用 密码 管理 条 例 》 等 ;在 将 密码 产品 或 加 密 信息 转移 到 其 他 国家 之 
前 ， 应 征求 国家 密码 管理 部 门 的 意见 。 


2. 符 合 安全 策略 和 标准 以 及 技术 符合 性 


符合 安全 策略 和 标准 以 及 技术 符合 性 的 控制 目标 是 确保 系统 和 业务 活动 符合 组 织 的 安全 策略 及 标准 。 这 一 目标 由 以 下 2 项 控 
制 措施 来 保障 实现 。 


(1) 符合 安全 策略 和 标准 


符合 安全 策略 和 标准 控制 措施 是 指 管理 人 员 确 保 在 其 职责 范围 内 的 所 有 安全 规程 被 正确 执行 ， 以 确保 符合 安全 策略 及 标准 。 
此 项 措施 的 常规 控制 包括 : 管理 人 员 对 自己 职责 范围 内 的 信息 处 理 活动 是 否 符合 相应 的 安全 策略 、 标 准 和 任何 其 他 安全 要 求 进行 
定期 评审 ; 如果 评审 发 现 不 符合 ， 管 理 人 员 分 析 并 确定 不 符合 友 生 的 原因 ， 确 定 并 实施 纠正 措施 以 防止 不 符合 再 次 发 生 ; 维护 评 
审结 果 和 纠正 措施 实施 的 记录 。 


(2) 技术 符合 性 检查 


技术 符合 性 检查 控制 措施 是 指定 期 检查 信息 系统 以 确定 其 是 否 符合 安全 实施 标准 。 此 项 措施 的 常规 控制 包括 : 由 有 经 验 的 系 
统 工程 师 手 工 执行 技术 符合 性 检查 ， 必 要 时 可 以 使 用 软 、 硬 件 工具 ; 用 自动 化 工具 自动 执行 检查 并 生成 检查 报告 ， 技 术 专 家 对 此 
报告 进行 分 析 和 解释 ;进行 渗透 测试 和 脆弱 性 评估 ， 以 检测 系统 是 否 人 存在 较为 严重 的 脆弱 性 ; 技术 符合 性 检查 仅 由 有 能 力 的 、 已 
授权 的 人 员 来 完成 ， 或 在 他 们 的 监督 下 完成 。 


3. 信 息 系统 审核 考虑 


言 息 系 统 审核 考虑 的 控制 目标 的 含义 是 将 信息 系统 审核 过 程 的 有 效 性 最 大 化 ， 干 扰 最 小 化 。 这 一 目标 由 信息 系统 审核 控制 拱 
施 来 保障 实现 。 


言 息 系 统 审核 控制 措施 是 指 规划 涉及 对 运行 系统 进行 审核 的 要 求 和 活动 ， 并 取得 批准 ， 以 便 最 小 化 造成 业务 过 程 中 断 或 性 能 
严重 下 降 的 风险 。 此 项 措施 的 常规 控制 包括 : 审核 方 与 被 审核 方 商定 审核 要 求 ; 商定 并 控制 审核 范围 ， 审 核 限定 于 对 软件 和 数据 
的 只 读 访 问 ; 非 只 读 访 问 仅 用 于 对 文件 的 单独 复制 ， 且 审核 完成 时 应 立即 安全 擦 除 ， 若 按照 审核 要 求 需要 保留 这 些 文件 ， 则 要 求 
审核 方 履 行 对 其 进行 保护 的 义务 ;监视 和 记录 所 有 审核 访问 ;审核 人 员 不 能 审核 自己 的 工作 ; 限制 对 信息 系统 审核 工具 的 访问 和 
使 用 ， 以 防止 其 被 滥用 或 损坏 。 


洛 
uk 
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1 一 个 组 织 在 实施 ISMS 的 过 程 中 ， 管 理 者 应 承担 并 履行 哪些 职责 ? 
2. 对 ISMS 相 关 的 文件 和 记录 应 该 如 何 进行 控制 ? 


3. 为 了 获得 理想 的 信息 安全 管理 效果 ， 组 织 建设 ISMS 应 该 包括 哪些 过 程 ? 每 个 过 程 应 实施 哪些 主要 活动 ? 哪些 活动 对 于 组 
织 ISMS 的 保持 和 持续 改进 特别 有 帮助 ? 


4. 结 合 自己 组 织 的 实际 业务 ， 制 订 组 织 的 信息 安全 方针 ;应 采取 何 种 方式 让 全 体 员 工 理解 这 一 方针 及 其 重要 性 ? 


5. 为 了 实现 对 组 织 内 部 信息 安全 的 有 效 管理 ， 应 该 实施 哪些 常规 的 控制 措施 ?为 了 防止 非 授权 访问 ,组织 在 用 户 访 问 管理 方 
面 应 实施 哪些 常规 控制 措施 ? 


第 6 草 ”应 急 啊 应 与 灾难 恢复 





信息 安全 管理 的 重要 内 容 之 一 。 本 章 主要 介绍 信息 安全 事件 的 





阅读 提示 “信息 安全 事件 的 预防 和 响应 、 灾 难 性 事件 的 恢复 是 
分 类 分 级 管理 、 应 急 响 应 以 及 灾难 恢复 等 相关 内 容 ， 以 期 读者 能 够 了 解 事件 分 类 分 级 管理 的 意义 ， 理 解 应 急 响 应 工作 的 主要 过 


程 、 灾 难 恢 复 管理 过 程 ， 掌 握 应 急 响 应 预案 的 管理 过 程 和 预案 主要 内 容 、 灾 难 恢复 能 力 级 别 及 其 指标 要 求 ， 能 够 结合 组 织 的 实际 











情况 开发 出 实用 的 信息 安全 应 急 响应 预案 和 灾难 恢复 预案 来 迅速 有 效 地 响应 发 生 的 信息 安全 事件 ， 在 发 生 灾 难 性 事件 时 确保 在 期 
望 的 时 间 内 恢复 信息 系统 。 


6.1 应急 响应 概况 
言 息 安全 事件 ， 是 指 由 于 自然 或 人 为 以 及 软 、 硬 件 本 身 缺 陷 或 故障 的 原因 ， 对 信息 系统 造成 危害 ， 或 者 在 信息 系统 内 发 生 对 
社会 造成 负面 影响 的 事件 。 至 今 ， 尚 没有 任何 一 种 信息 安全 策略 或 防护 措施 ， 能 够 对 信息 及 信息 系统 提供 绝对 的 保护 ， 这 就 使 得 
言 息 安全 事件 的 发 生 是 可 能 的 。 因 此 ， 对 信息 安全 事件 进行 有 效 管理 和 响应 ， 最 小 化 事件 所 造成 的 损失 和 负面 影响 ， 是 组 织 信息 
安全 战略 的 一 部 分 。 


i 


应 急 响 应 是 信息 安全 事件 管理 的 重要 内 容 。 应 急 响应 是 指 组 织 为 了 应 对 突 发 /重大 信息 安全 事件 的 发 生 所 做 的 准备 ， 以 及 在 
事件 发 生 后 所 采取 的 措施 。 应 急 响应 工作 与 其 他 信息 安全 管理 工作 相 比 有 其 鲜明 的 特点 : 具有 高 技术 复杂 性 与 专业 性 、 强 突 发 
性 、 对 知识 经 验 的 高 依赖 性 ， 以 及 需要 广泛 的 协调 与 合作 。 


应 急 响 应 组 织 是 专门 处 理 安全 事件 的 组 织 ， 常 用 的 名 字 是 计算 机 网 络 安全 事件 应 急 组 、 计 算 机 安全 事件 响应 组 (Computer 
Security Incident Response Team，CSIRT) 、 信 息 安 全 事件 响应 组 (Information Security Incident Response 
Team，1SIRT) 或 事件 响应 组 (Incident Response Team，1IRT) 。 通 常 ， 应 急 响 应 组 织 由 和 管理、 业务、 技术 和 行政 后 勤 等 人 
员 组 成 ， 常 见 的 角色 有 应 急 响应 领导 小 组 、 应 急 响应 技术 保障 小 组 、 应 急 响 应 专家 小 组 、 应 急 响 应 实施 小 组 和 应 急 响 应 日 常 运 行 
小 组 5 个 功能 小 组 。 如 图 6-1 所 示 ， 其 中 ， 应 急 响 应 领导 小 组 的 职责 是 领导 和 决策 信息 安全 应 急 响应 的 重大 事宜 。 应 急 响 应 技术 
保障 小 组 的 主要 职责 包括 : 制定 信息 安全 事件 技术 对 应 表 ; 制定 具体 的 角色 和 职责 分 工 细则 ; 制定 应 急 响 应 协同 调度 方案 等 。 应 
急 响应 专家 小 组 的 主要 职责 包括 : 对 重大 信息 安全 事件 进行 评估 ， 提 出 启动 应 急 响应 的 建议 ; 研究 分 析 信 息 安全 事件 的 相关 情况 


及 发 展 趋势 ， 为 应 急 响 应 提供 咨询 或 提出 建议 等 。 应 急 响应 实施 小 组 的 主要 职责 包括 : 分 析 应 急 响 应 需求 ， 如 风险 评估 、 业 务 影 
响 分 析 (Business Impact Analysis，BIA) 等 ; 确定 应 急 响 应 策略 和 等 级 ; 实现 应 急 响应 策略 ; 编制 应 急 响应 计划 文档 ; 组 织 
应 急 响 应 计划 的 测试 、 培 训 和 演练 ;合理 部 署 和 使 用 应 急 响应 资源 等 。 应 急 响 应 日 常 运行 小 组 的 主要 职责 包括 : 协助 灾难 恢复 系 
统 的 实施 ; 备份 中 心 的 日 常 管理 ;备份 系统 的 运行 与 维护 ; 应 急 监 控 系 统 的 运作 与 维护 ; 落实 基础 物质 的 保障 工作 ; 维护 和 管理 
应 急 响 应 计划 文档 等 。 
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实施 应 急 
响应 计划 


图 6-1 应 急 响应 组 织 的 一 般 构 成 


组 织 建立 的 内 部 应 急 响 应 组 织 应 与 外 部 的 国内 外 应 急 响 应 组 织 、 相 关 管 理 部 门 、 设 备 设施 及 服务 提供 商 (如 电力 供应 、 通 信 
服务 等 ) 、 利 益 相 关 方 和 新 闻 媒 体 等 保持 联系 和 协作 ， 以 确保 在 发 生 信息 安全 事件 时 能 及 时 通报 准确 情况 ， 并 获得 支持 。 


国际 方面 ， 信 息 安全 应 急 响 应 工作 始 于 1988 年 11 月 发 生 的 “ 莫 里 斯 蠕虫 病毒 ”事件 。 基 于 该 事件 以 及 对 安全 应 急 响应 的 认 

识 的 逐渐 深入 ， 卡 内 基 梅 隆 大 学 的 软件 工程 学 院 向 美国 国防 部 高 级 研究 项 目 处 申请 资金 ， 成 立 了 计算 机 应 急 响应 协调 中 心 

(Computer Emergency Response Team/Coordination Center，CERT/CC) ， 协 调处 理 整个 互联 网 的 信息 安全 应 急 响应 。 
目前 ，CERT/CC 是 美国 国防 部 资助 下 的 抗 毁 性 网 络 系统 计划 的 一 部 分 ， 下 设 事件 处 理 、 安 全 漏洞 处 理 和 计算 机 安全 事件 响应 组 3 
个 部 门 。CERT/CC 成 立 后 ， 随 着 互联 网 的 迅速 发 展 ， 美 国 以 及 世界 各 地 的 学 术 研 究 机 构 、 政 府 部 门 以 及 商业 领域 纷纷 成 立 了 与 
自身 业务 相关 的 应 急 响 应 机 构 。 在 这 种 情况 下 ，NI1ST 联 合 CERT/CC、 亚 洲 相互 协作 与 信任 措施 会 议 (Conference on 
Interaction and Confidence-Building Measures in Asia，CICA) 、 美 国航 空 航 天 局 (National Aeronautics and Space 
Administration，NASA) 以 及 其 他 IRT 组 织 ， 成 立 了 事件 响应 与 安全 组 论坛 (Forum of Incident Response and Security 
Teams，FIRST) 。FIRST 通 过 促进 多 个 1RT 组 织 及 厂商 间 的 合作 来 提高 信息 技术 的 安全 性 ， 并 为 IRT 组 织 和 其 他 的 安全 研究 机 构 
提供 一 个 研讨 信息 安全 缺陷 的 论坛 。 此 外 ， 还 有 亚太 地 区 计算 机 应 急 响 应 组 (Asia Pacific Computer Emergency Response 
Team，APCERT) 和 欧洲 计算 机 网 络 研究 教育 协会 (Trans-European Research and Education Networking 
Association，TERENA) 等 区 域 性 应 急 响 应 组 织 。 


我 国 早 期 的 计算 机 安全 事件 的 应 急 响 应 工作 主要 包括 计算 机 病毒 防范 和 “和 王 年 虫 ” 问 题 的 解决 ， 但 是 天 于 网 络 安全 应 急 响 应 
的 起 步 较 晚 。1995 年 5 月 ， 清 华 大 学 信息 网 络 工程 研究 中 心 成 立 了 中 国 第 一 个 专门 从 事 网 络 安全 应 急 响 应 的 组 织 ， 即 中 国教 育 和 


科研 计算 机 网 紧急 响应 组 。1999 年 10 月 ， 东 南大 学 网 络 中 心 成 立 了 中 国教 育 网 华东 ( 北 ) 地 区 网 络 安全 应 急 响 应 组 。 此 外 ， 中 

国电 信 成 立 了 ChinaNet 安 全 小 组 ， 中 国人 民 解 放 军 、 公 安 部 以 及 一 些 商 业 网 络 安全 服务 公司 也 先后 成 立 其 IRT。 在 这 种 发 展 趋势 
下 ， 需 要 一 个 组 织 来 为 各 行业 、 部 门 以 及 公司 的 应 急 响 应 协调 和 交流 提供 便利 条 件 ， 同 时 为 政府 提供 应 急 响应 服务 ， 因 而 国家 计 
算 机 网 络 与 信息 安全 管理 中 心 的 国家 计算 机 网 络 应 急 技 术 处 理 协 调 中 心 (National Computer network Emergency Response 
technical Team/Coordination Center of China，CN-CERT/CC) 应 运 而 生 。 在 CN-CERT/CC 运 作协 调 下 ， 国 内 应 急 响应 组 

织 之 间 不 但 开展 了 一 些 国内 的 交流 活动 ， 而 且 也 开始 参与 国际 的 交流 。 此 外 ， 我 国 还 有 国家 计算 机 病毒 应 急 处 理 中 心 、 国 家 计算 
机 网 络 入 侵 防范 中 心 和 国家 863 计 划 反 计算 机 入 侵 和 防 病毒 研究 中 心 等 应 急 响应 组 织 。 


我 国 的 信息 安全 有 关 政 策 将 信息 安全 应 急 响应 工作 列 为 信息 安全 保障 工作 的 重点 之 一 。《 关 于 加 强 信 息 安全 保障 工作 的 意 
见 》 (中 办 发 『2003」27 号 文 ) 指出 : “信息 安全 保障 工作 的 要 点 在 于 ， 实 行 信息 安全 等 级 保护 制度 ， 建 设 基于 密码 技术 的 网 
络 信任 体系 ， 建 设 信息 安全 监控 体系 ， 重 视 信 息 安 全 应 急 处 理工 作 ， 推 动 信息 安全 技术 研发 与 产业 发 展 ， 建 设 信息 安 全 法 制 与 标 
准 ”。 针 对 信息 安全 事件 管理 和 应 急 响 应 工作 ， 我 国 已 经 发 布 了 以 下 国家 标准 : GB/T 24364 一 2009《 信 息 安全 技术 信息 安全 应 
急 响应 计划 规范 》、GB/Z 20985 一 2007《 信 息 技术 安全 技术 信息 安全 事件 管理 指南 》、GB/Z 20986 一 2007《 信 息 安全 技术 信 
息 安全 事件 分 类 分 级 指南 》 和 GB/T 20988 一 2007《 信 息 安 全 技术 信息 系统 灾难 恢复 规范 》。 


6.1.1 ”信息 安全 事件 分 类 与 分 级 


言 息 安全 事件 的 种 类 很 多 ， 严 重 程度 也 不 尽 相同 ， 其 响应 和 处 理 方式 也 应 各 不 相同 。 对 信息 安全 事件 进行 分 类 和 分 级 管理 ， 
是 有 效 防范 和 响应 信息 安全 事件 的 基础 ， 能 够 使 事前 准备 、 事 中 应 对 和 事后 处 理 的 各 项 相关 工作 更 具 针 对 性 和 有 效 性 。 


一 


.信息 安全 事件 分 类 


信息 安全 事件 的 分 类 方法 有 多 种 。 依 据 GB/Z 20986 一 2007《 信 息 安全 技术 信息 安全 事件 分 类 分 级 指南 》， 信 息 安全 事件 分 
为 有 害 程序 事件 、 网 络 攻击 事件 、 信 息 破坏 事件 、 信 息 内 容 安全 事件 、 设 备 设 施 故 障 、 灾 害 性 事件 和 其 他 信息 安全 事件 7 个 基本 
类 别 ， 每 个 基本 分 类 分 别 包 括 若 干 个 子 类 。 例 如 ， 网 络 攻击 事件 ， 是 指 通过 网 络 或 其 他 技术 手段 ， 利 用 信息 系统 的 配置 缺陷 、 协 
议 缺 陷 、 程 序 缺陷 或 使 用 暴力 攻击 对 信息 系统 实施 攻击 ， 并 造成 信息 系统 异常 或 对 信息 系统 当前 运行 造成 潜在 危害 的 信息 安全 事 
件 。 网 络 攻击 事件 包括 拒绝 服务 攻击 事件 、 后 门 攻击 事件 、 漏 洞 攻 击 事件 、 网 络 扫描 窃听 事件 、 网 络 钓鱼 事件 、 干 扰 事件 和 其 他 
网 络 攻击 事件 7 个 子 类 。 





通常 ， 对 信息 安全 事件 的 分 级 参考 下 列 3 个 要 素 : 信息 系统 的 重要 程度 、 系 统 损失 和 社会 影响 。 信 息 系 统 的 重要 程度 主要 是 
基于 信息 系统 所 承载 的 业务 对 国家 安全 、 经 济 建设 、 社 会 生活 的 重要 性 ， 以 及 业务 对 信息 系统 的 依赖 程度 的 考虑 ， 划 分 为 特别 重 
要 信息 系统 、 重 要 信息 系统 和 一 般 信 息 系统 3 级 。 系 统 损失 是 指 由 于 信息 安全 事件 对 信息 系统 的 软 硬 件 、 功 能 及 数据 的 破坏 ， 导 
致 系统 业务 中 断 ， 从 而 给 事 发 组 织 和 国家 所 带 来 的 损失 ， 其 大 小 主要 考虑 恢复 系统 正常 运行 和 消除 安全 事件 负面 影响 所 需 付出 的 
代价 ， 划 分 为 特别 严重 的 系统 损失 、 严 重 的 系统 损失 、 较 大 的 系统 损失 和 较 小 的 系统 损失 4 级 。 社 会 影响 是 指 信息 安全 事件 对 社 
会 所 造成 影响 的 范围 和 程度 ， 其 大 小 主要 考虑 国家 安全 、 社 会 秩序 、 经 济 建设 和 公众 利益 等 方面 的 影响 ， 划 分 为 特别 重大 的 社会 
影响 、 重 大 的 社会 影响 、 较 大 的 社会 影响 和 一 般 的 社会 影响 4 级 。 


根据 信息 安全 事件 的 分 级 参考 要 素 ， 可 将 信息 安全 事件 划分 为 4 个 级 别 : 特别 重大 事件 ( 工 级 ) 、 重 大 事件 ( 工 级 ) 、 较 大 
事件 ( 亚 级 ) 和 一 般 事 件 (IV 级 ) 。 例 如 ， 特 别 重 大 事件 〈 工 级 ) ， 是 指 能 够 导致 特别 严重 影响 或 破坏 的 信息 安全 事件 ， 包 括 以 
下 情况 : 会 使 特别 重要 信息 系统 遭受 特别 重大 的 系统 损失 ， 如 造成 系统 大 面积 次 痪 ， 使 其 丧失 业务 处 理 能 力 ， 或 系统 关键 数据 的 


保密 性 、 完 整 性 和 可 用 性 遭 到 严重 破坏 ， 恢 复 系 统 正 常 运行 和 消除 安全 事件 负面 影响 所 需 付出 的 代价 十 分 巨大 ， 对 于 事 发 组 织 是 
不 可 承受 的 ; 产生 特别 重大 的 社会 影响 ， 如 产生 的 社会 影响 会 波及 一 个 或 多 个 省 市 的 大 部 分 地 区 ， 极 大 威胁 国家 安全 ， 引 起 社会 
动荡 ， 对 经 济 建 设 有 极其 恶劣 的 负面 影响 ， 或 者 严重 损害 公众 利益 。 其 他 工 级 、 于 级 和 IV 级 事件 ， 造 成 的 系统 损失 和 社会 影响 依 
次 减弱 ， 具 体 说 明 可 参见 国家 标准 GB/Z 20986 一 2007 文 件 。 


6.1.2 ”信息 安全 应 急 响 应 管理 过 程 


基于 应 急 响 应 工作 的 特点 和 事件 的 不 规则 性 ， 事 先 制定 出 事件 应 急 响 应 方法 和 过 程 ， 有 助 于 一 个 组 织 在 事件 发 生 时 阻止 混乱 
的 发 生 或 是 在 混乱 状态 中 迅速 恢复 控制 ， 将 损失 和 负面 影响 降 至 最 低 。 应 急 响 应 方法 和 过 程 并 不 是 唯一 的 。 一 种 被 广 为 接 受 的 应 
急 响 应 方法 是 将 应 急 响 应 管理 过 程 分 为 准备 、 检 测 、 遏 制 、 根 除 、 恢 复 和 跟踪 总 结 6 个 阶段 。 


1. 准 备 


作为 应 急 响 应 工作 的 第 一 个 阶段 ， 准 备 阶段 需要 达到 以 下 目标 : 首先 ， 应 确定 重要 资产 和 风险 ， 实 施 针对 风险 的 防护 措施 ; 
其 次 ,编制 和 管理 应 急 响 应 计划 ,为 了 应 对 突 发 /重大 信息 安全 事件 而 编制 的 对 包括 信息 系统 运行 在 内 的 业务 运行 进行 维持 或 恢 
复 的 策略 和 规程 (应 急 响 应 计划 ) ， 是 信息 安全 应 急 响 应 规划 过 程 中 的 关键 步骤 。 应 急 响 应 计划 的 编制 和 管理 分 为 3 个 阶段 : 应 
急 响应 计划 的 编制 准备 ， 编 制 应 急 响应 计划 ， 应 急 响 应 计划 的 测试 、 培 训 演练 和 维护 。 另 外 ， 需 要 建立 和 训练 应 急 响 应 组 织 和 准 
备 相 关 的 资源 。 除 了 人 力 资源 (应 急 响 应 组 织 ) 以 外 ， 应 急 响 应 还 需要 的 基本 资源 包括 : 财力 资源 、 物 质 资源 、 技 术 资 源 和 社会 
关系 资源 等 。 事 先 确定 对 这 些 资源 的 需求 并 准备 就 绪 ， 是 能 够 有 效 进 行 应 急 响应 的 基础 。 


2. 检 测 


检测 的 目的 是 先 确认 事件 是 否 真 的 发 生 ， 在 肯定 有 安全 事件 发 生 后 判定 问题 所 发 生 的 领域 ， 其 当前 造成 的 危害 和 影响 范围 有 
多 大 ， 以 及 发 展 的 速度 与 进一步 的 威胁 是 什么 。 在 检测 阶段 ， 需 要 依次 进行 以 下 几 方 面 的 工作 。 首 先 ， 进 行 监测 、 报 告 及 信息 收 
集 。 通 过 已 经 建立 的 信息 安全 事态 /事件 监测 及 报告 制度 ， 收 集 并 报告 一 切 异常 和 可 疑 信息 ， 以 检测 信息 安全 事件 的 发 生 。 应 急 
响应 组 织 在 接 到 报告 或 在 察觉 到 有 异常 现象 后 ， 应 立即 开始 行动 ， 从 多 方面 进一步 收集 有 价值 的 信息 来 开展 检测 工作 。 其 次 , 确 
定 事件 类 别 和 级 别 。 再 次 ， 初 步 动 作 和 响应 。 应 急 响 应 组 织 在 接 到 报告 或 在 察觉 到 有 异常 现象 后 ， 可 以 先进 行 以 下 初步 响应 工 
作 : 激活 和 增强 审计 功能 、 迅 速 备 份 完整 系统 、 记 录 所 发 生 的 事件 。 最 后 ， 评 佑 事件 的 影响 范围 。 最 后 ， 进 行事 件 通告 ， 包 括 信 
息 通报 、 信 息 上 报 和 信息 披露 3 方面 。 


3. 遏 制 


遏制 的 目的 是 限制 事件 影响 的 范围 ， 同 时 也 限制 了 潜在 的 损失 和 破坏 ， 避 免 事件 升 级 。 在 遏制 阶段 ， 通 常 要 进行 以 下 活动 : 
首先 ， 启 动 应 急 响 应 计划 。 其 次 ， 确 定 适当 的 响应 方式 。1RT 在 掌握 相关 的 信息 后 ， 应 当 就 此 事件 来 选择 最 适当 的 响应 方式 。 这 
些 选 择 包括 恢复 运行 、 在 线 响 应 与 离线 响应 、 识 别 攻 击 者 、 起 诉 和 惩戒 等 。 再 次 ， 实 施 遏 制 行动 。 坎 制 措施 可 能 会 因 事件 的 类 另 
和 级 别 不 同 而 完全 不 同 。 常 见 的 可 选 遏制 措施 有 : 完全 关闭 所 有 系统 ; 拔 掉 网 线 ;修改 所 有 防火 墙 和 路 由 器 的 过 滤 规 则 ， 拒 绝 来 
自发 起 攻击 的 嫌疑 主机 的 所 有 流量 ;封锁 或 删除 被 攻破 的 登录 账号 ;提高 系统 、 服 务 和 网 络 行为 的 监控 级 别 ; 设置 诱饵 服务 器 作 
为 陷阱 ; 关闭 服务 ; 反击 攻击 者 的 系统 等 。 应 急 响 应 组 织 应 根据 组 织 业务 特点 、 事 件 性 质 来 合理 选择 并 实施 遏制 /封锁 /隔离 措 
施 ， 以 使 损失 最 小 化 ， 同 时 确保 遏制 /封锁 /隔离 措施 对 各 业务 的 影响 最 小 。 实 施 坎 制 措施 后 ， 应 汇总 相关 数据 ， 佑 计 损失 和 遏制 
效果 。 最 后 ， 需 考虑 用 户 在 遏制 工作 中 的 角色 。 遏 制 工 作 应 该 由 专业 的 IRT 来 完成 。 在 应 急 响 应 策略 文件 中 ， 建 议 一 般 用 户 遇 到 
异常 情况 时 ， 遵 守 以 下 行为 规范 : 在 没有 向 专家 咨询 之 前 不 要 关闭 系统 或 者 从 网 络 上 断 开 ; 按照 组 织 的 报告 程序 要 求 报告 任何 可 
疑 的 /异常 的 现象 ;继续 监控 并 记录 可 疑 的 现象 ， 直 到 处 理 该 类 安全 事件 的 人 员 到 达 ; 不 要 修改 系统 或 应 用 软件 ;除非 得 到 管理 


一 


层 同意 ， 不 要 告诉 媒体 任何 信息 。 
4 .根除 


在 根除 阶段 必须 依据 响应 计划 实施 根除 措施 ， 有 可 能 还 需要 制定 计划 以 外 的 其 他 根除 措施 。 常 见 的 根除 措施 有 消除 或 阻 断 攻 
击 源 、 找 到 并 消除 系统 的 脆弱 性 /漏洞 、 修 改 安全 策略 、 加 强 防 范 措施 、 格 式 化 被 感染 恶意 程序 的 介质 等 。 特 别 需 要 注意 ， 如 果 
受害 者 使 用 的 是 专用 的 系统 ， 则 根除 操作 必须 遵循 专门 的 操作 规定 ;对 机 密 的 环境 来 说 ， 低 级 格式 化 则 更 加 彻底 一 些 。 


5. 恢 复 


恢复 的 目标 是 把 所 有 被 破坏 的 系统 和 网 络 设备 彻底 地 还 原 到 它们 原来 正常 的 任务 状态 。 恢 复 阶段 的 行动 集中 在 建立 临时 业务 
处 理 能 力 、 修 复原 系统 的 损害 、 在 原 系统 或 新 设施 中 恢复 运行 业务 能 力 、 重 建 信息 系统 等 恢复 措施 。 应 按 应 急 响应 计划 中 事先 制 
定 的 业务 恢复 优先 顺序 和 恢复 步骤 ， 顺 次 恢复 相关 的 系统 ， 恢 复 的 优先 顺序 应 依据 BIA 分 析 的 结果 来 确定 。 每 种 系统 的 恢复 步骤 
应 在 应 急 响 应 计划 中 详尽 描述 。 通 常 ， 如 下 事务 性 行动 步骤 和 技术 性 恢复 操作 应 写 入 应 急 响 应 计划 的 恢复 步骤 中 : 恢复 工作 相关 
人 员 获 得 访问 备用 设施 和 地 理 区 域 的 授权 ; 通知 相关 系统 的 内 部 和 外 部 业务 伙伴 ; 获得 所 需 的 办 公用 品 和 工作 空间 ; 获得 所 需 的 
硬件 部 件 ， 获 得 备份 介质 ; 恢复 关键 操作 系统 和 应 用 软件 〈 需 要 详细 摘 述 操作 步骤 ) ;恢复 系统 数据 (需要 详细 描述 操作 步 
又 ) ; 启用 备份 系统 ;获得 访问 受 损 设 施 和 地 理 区 域 的 授权 ; 重建 主 系统 通知 重要 用 户 系统 已 经 恢复 ; 在 适当 的 时 候 解除 封锁 


措施 等 。 
6. 跟 踪 总 结 


跟踪 总结 的 目标 是 根 踪 系统 恢复 后 的 安全 状况 ， 回 顾 并 汇总 所 发 生 事件 的 相关 信息 。 这 一 阶段 对 于 圆满 完成 响应 任务 、 提 供 
有 助 于 法 律 行动 的 信息 以 及 完善 响应 者 的 知识 、 经 验 体系 与 响应 能 力 是 相当 重要 的 。 在 此 阶段 ， 通 常 构造 一 个 事件 的 时 间 线 ， 包 
括 事 件 本 身 的 发 展 以 及 响应 运作 的 内 容 ; 还 应 该 做 一 份 天 于 损失 的 报告 并 重新 进行 风险 评 佑 以 及 提出 新 的 安全 建议 ; 并 基于 此 次 
响应 的 经 验 和 教训 重新 评估 和 修改 应 急 响 应 策略 和 应 急 响 应 计划 ， 这 有 既 包括 技术 上 的 ， 也 包括 程序 上 的 和 涉及 人 的 相互 影响 的 因 
素 。 最 终 ， 需 要 编写 并 提交 一 份 条 理 清晰 的 、 完 整 的 应 急 响 应 过 程 记录 与 应 急 响 应 报告 。 


需要 注意 的 是 ， 真 实 的 事件 应 急 响 应 过 程 是 不 可 能 以 这 种 纯粹 串 行 的 方式 发 生 的 ， 本 章 只 是 描述 了 一 个 理想 的 应 急 响 应 过 
程 。 应 急 响 应 过 程 中 各 阶段 任务 的 协调 以 及 响应 中 人 的 关系 的 协调 永远 是 应 急 响应 工作 中 两 个 同等 重要 的 课题 。 同 时 ， 这 6 个 阶 
段 的 响应 方法 也 不 能 确保 事件 处 理 的 成 功 ， 事 件 处 理 的 成 功 涉及 事件 的 性 质 、 应 急 响 应 组 织 的 能 力 和 应 急 响应 保障 措施 的 落实 等 
众多 因素 ， 但 这 种 有 序 的 响应 过 程 确实 是 提高 应 急 响 应 成 功率 的 基础 。 


6.1.3 ”计算 机 取证 


计算 机 取证 是 使 用 先进 的 技术 和 工具 ， 按 照 标 准 规程 全 面 地 检查 计算 机 系统 ， 以 提取 和 保护 有 关 计 算 机 犯罪 的 相关 证 据 的 活 
动 。 取 证 的 目的 包括 : 通过 证 据 查 找 秘 事 者 、 通 过 证 所 推断 犯罪 过 程 、 通 过 证 据 判 断 受 害 者 损失 程度 及 收集 证 所 提供 法 律 支持 。 
电子 证 据 是 计算 机 系统 运行 过 程 中 产生 的 各 种 信息 记录 及 存储 的 电子 化 资料 及 物品 。 对 于 电子 证 据 ， 取 证 工作 主要 围绕 两 方面 进 
行 : 证 据 的 获取 和 证 据 的 分 析 。 计 算 机 取证 的 过 程 可 以 分 为 准备 、 保 护 、 提 取 、 分 析 和 提交 5 个 步骤 。 


1) 准备 阶段 。 包 括 以 下 5 项 工作 : 获取 授权 ， 取 证 工作 获得 明确 的 授权 (授权 书 ) ， 该 授权 可 由 事件 发 生 组 织 (受害 方 ) 
或 第 三 方 执法 机 构 (公安 部 门 或 其 他 执法 机 构 ) 给 出 ;明确 目标 ， 对 取证 的 目标 情况 进行 了 解 ， 确 定 取证 的 目标 资料 及 信息 ， 并 
对 取证 的 目的 有 清晰 的 认识 ， 明 确 取证 要 达到 什么 样 的 目标 ;准备 工具 ， 根 据 对 取证 环境 的 了 解 ， 准 备 需要 的 工具 ; 准备 软件 ， 
对 取证 的 软件 进行 有 效 的 验证 ， 确 保 软件 在 取证 环境 下 能 有 效 地 运行 ;准备 介质 ， 准 备 符合 取证 环境 需要 的 干净 的 介质 ， 确 保有 


符合 要 求 的 足够 容量 的 干净 的 介质 用 于 取证 。 


2) 保护 阶段 。 主 要 目的 是 对 目标 环境 进行 保护 ， 避 免 取 证 导致 证 据 彻底 丢失 和 数据 进一步 破坏 。 保 护 工作 应 确保 以 下 几 
点 : 保证 数据 安全 性 ， 明 确 哪些 取证 操作 可 能 导致 证 据 或 数据 彻底 丢失， 避免 使 用 这 些 类 型 的 操作 ， 如 不 要 拔 下 电源 线 或 天 机; 
保证 数据 完整 性 ， 明 确 哪些 取证 操作 能 确保 完整 性 ， 取 证 中 不 使 用 可 能 破坏 完整 性 的 操作 ， 例 如 应 该 制作 磁盘 上 映像， 尽量 不 在 原 
始 磁盘 上 操作 ; 确保 目标 系统 、 服 务 和 网 络 在 取证 过 程 中 受到 保护 ， 防 止 其 变 得 不 可 用 、 被 改变 或 受到 其 他 危害 ; 同时 确保 对 正 


常 运 行 的 影响 最 小 或 没有 。 


3) 提取 阶段 。 从 受到 侵害 的 计算 机 上 获取 信息 ， 供 随后 的 分 析 和 和 处理。 具体 的 操作 过 程 是 查看 计算 机 的 状态 ， 复 制 磁盘 上 
存储 的 数据 ， 并 将 可 疑 数据 复制 到 可 信任 的 设备 上 。 


4) 分 析 阶 段 。 对 提取 的 数据 进行 详细 的 分 析 ， 从 中 发 现 被 攻击 的 痕迹 或 相关 线索 。 


5) 提交 阶段 。 对 从 分 析 中 获取 的 证 所 或 线索 进行 规范 整理 ， 总 结 事件 发 生 的 原因 及 在 其 演变 过 程 以 及 每 一 阶段 采取 的 行 
动 ， 并 将 取证 过 程 详细 地 记录 下 来 ， 形 成 文件 ， 一 起 提交 。 若 需要 ， 为 内 部 惩罚 或 法 律 诉讼 行动 提供 专家 支持 。 


6.2 ”信息 系统 灾难 恢复 


随 着 信息 技术 的 发 展 和 信息 化 的 不 断 深入 ， 特 别 是 数据 集中 和 业务 集中 以 及 由 此 产生 的 对 信息 系统 越 来 越 强 的 依赖 性 ， 导 致 
舍 息 系统 相关 事件 对 组 织 业务 运 莒 的 影响 越 来 越 严重 ， 从 而 使 信息 系统 灾难 备份 和 恢复 越 来 越 成 为 组 织 需要 迫切 解决 的 问题 之 

一 。 对 组 织 而 言 ， 信 息 系统 失效 无 疑 是 一 场 灾 难 。 在 这 种 情况 下 ， 组 织 的 业务 无 法 正常 运作 ， 甚 至 可 能 陷入 完全 瘫痪 。 然 而 ， 有 
许多 因素 威胁 着 信息 系统 的 正常 运转 ， 大 到 自然 灾害 (地震 、 洪 水 、 飓 风 和 火灾 等 ) ， 小 到 失窃 、 断 电 乃至 操作 员 不 经 意 的 失 

误 ， 都 会 影响 系统 的 正常 运转 甚至 造成 整个 系统 完全 瘫痪 。 所 以 ， 由 信息 系统 瘫痪 造成 的 影响 往往 是 十 分 惊人 的 。2001 

年 “9.11” 事 件 发 生 后 的 第 二 天 ，Gartner 在 一 份 报告 [1 中 描述 道 ，“ 在 经 历 过 灾难 的 企业 中 ， 每 5 家 中 有 2 家 在 5 年 内 会 完全 退 

出 市 场 。 当 上 且 仅 当 企业 在 灾难 前 或 灾难 后 采取 了 必要 的 措施 后 ， 企 业 可 以 改变 这 种 状况 。 业 务 持续 性 计划 和 灾难 恢复 计划 服务 将 
确保 持续 的 生存 性 ”。 


[1] 参见 Gartnet 报 告 : Disaster Recovety Plans and Systems Ate Essential,by Roberta Witty, Donna Scott,12 September 2001. 


6.2.1 ”灾难 恢复 概况 


1. 灾 难 恢复 历史 和 背景 


业务 连续 性 和 灾难 恢复 起 步 于 20 世 纪 70 年 代 中 期 的 美国 ， 源 于 美国 中 西部 地 区 对 电脑 设施 进行 的 备份 ， 历 史 性 标志 是 1979 
年 在 美国 宾夕法尼亚 州 的 费城 建立 了 专业 商业 化 的 灾 备 中 心 并 对 外 提供 服务 。 随 后 ， 业 务 持续 性 和 灾难 恢复 行业 得 到 了 迅猛 发 
展 。20 世 纪 90 年 代 早期 ， 业 务 连 续 性 和 灾难 恢复 管理 主要 定位 于 IT 灾难 恢复 ， 主 要 提供 在 自然 灾难 和 关键 部 件 故 障 时 通过 在 备 
份 站 点 恢复 技术 资产 (如 系统 、 网 络 和 数据 ) 。 这 时 典型 的 恢复 时 间 目 标 (Recovery Time Objective，RTO) 大 约 是 3 天 ; 典 
型 的 恢复 点 目标 (Recovery Point Objective，RPO) 大 约 是 24 小 时 ， 所 应 用 的 主要 组 织 是 高 度 规范 的 行业 (银行 等 金融 服务 行 
业 ) 。 到 了 20 世 纪 90 年 代 中 期 ， 组 织 开始 将 其 业务 连续 性 和 灾难 恢复 计划 加 入 业务 保护 过 程 ， 但 整个 业务 连续 性 规划 
(Business Continuity Planning，BCP) 和 灾难 恢复 规划 (Disaster RecoveryPlanning，DRP) 的 框架 及 RTO/RPO 仍 没有 大 
的 改动 。 到 了 20 世 纪 90 年 代 后 期 ， 有 两 件 事情 促进 了 业务 连续 性 和 灾难 恢复 管理 的 进一步 深入 和 发 展 。 一 是 “ 干 年 虫 ”问题 ， 


大 量 企业 为 了 应 对 此 问题 开始 重新 组 织 和 评估 其 业务 过 程 和 其 业务 连续 性 计划 ， 开 始 理解 其 关键 系统 和 应 用 故障 将 导致 业务 中 

断 ， 开 始 重 点 投资 业务 持续 性 计划 和 灾难 恢复 计划 。 这 一 时 期 那些 关键 的 应 用 其 RTO 开 始 减少 至 小 于 24 小 时 ，RPO 通 常 开 始 设 

置 为 灾难 发 生 点 ( 即 没有 数据 丢失 ) 。 二 是 Internet、 电 子 商 务 和 实时 业务 的 要 求 ， 这 是 影响 业务 持续 性 计划 的 另 一 个 动力 。 随 
着 Internet 和 电子 商务 的 发 展 ， 组 织 的 内 部 处 理 系统 、 外 部 服务 提供 商 、 外 部 合作 伙伴 和 客户 的 相互 关联 和 相互 依赖 性 对 业务 连 
续 性 产生 了 更 高 的 要 求 ， 某 些 业务 的 RTO 和 RPO 进 一 步 减 少 至 0 (意味 着 没有 关机 时 间或 24x 7 的 业务 过 程 可 用 性 ) 。 此 时 ， 随 

着 新 的 风险 的 增加 ，BCP 和 DRP 必 须 开 始 处 理 一 些 新 的 领域 ， 例 如 运行 维护 风险 (例如 重要 支持 网 站 不 可 用 ) 、 安 全 风险 (例如 
Dos 攻 击 ) 、 合 作 伙 伴 /外 包 商 不 可 用 等 。 对 于 由 此 而 来 的 新 电子 商务 世界 ， 组 织 必 须 深入 关注 所 有 死机 的 风险 ， 它 们 将 严重 影 
响 组 织 的 声誉 和 业务 ， 影 响 组 织 的 持续 生存 性 。2001 年 的 “9.11” 事 件 永远 地 改变 了 业务 连续 性 计划 ， 这 次 恐怖 袭击 事件 将 业 

务 连续 性 和 灾难 恢复 管理 的 迫切 性 更 加 严峻 地 摆 在 了 组 织 的 面前 。“9.11” 事 件 发 生 以 后 ，BCP 和 DRP 更 进一步 扩展 ， 进 一 步 要 
求 处 理 物 理 资 产 的 完全 破坏 和 人 员 霄 失 等 更 为 复杂 和 全 面 的 问题 。 


在 我 国 ， 业 务 连续 性 和 灾难 恢复 管理 工作 始 于 20 世 纪 90 年 代 末 ， 这 时 一 些 单位 在 信息 化 建设 的 同时 ， 开 始 天 注 数据 安全 的 
保护 ， 开 展 了 数据 备份 工作 。 随 后 ， 同 国际 方面 类 似 ，“ 和 于 年 虫 ” 问 题 和 “9.11” 事 件 也 极 大 触动 了 我 国 业务 连续 性 和 灾难 恢复 
管理 的 发 展 。2003 年 ， 中 共 中 央 办 公 厅 、 国 务 院 办 公 厅 下 发 了 《国家 信息 化 领导 小 组 关于 加 强 信息 安全 保障 工作 的 意见 》， 文 
件 中 要 求 要 高 度 重 视 灾 难 备份 工作 。 为 贯彻 落实 中 央 指 示 ， 国 务 院 信息 化 工作 办 公 室 于 2004 年 9 月 份 下 发 了 《关于 做 好 重要 信息 
系统 灾难 备份 工作 的 通知 》， 文 件 强调 了 “统筹 规划 、 资 源 共享 、 平 战 结合 ”的 灾 备 工作 原则 。 为 进一步 推动 8 个 重点 行业 ( 银 
行 、 证 券 、 保 险 、 电 力 、 民 航 、 铁 路 、 海 关 和 税务 ) 加 快 实施 灾难 恢复 工作 ， 国 务 院 信息 化 工作 办 公 室 于 2005 年 4 月 份 下 发 了 
《重要 信息 系统 灾难 恢复 指南 》， 文 件 指明 了 灾难 恢复 工作 的 流程 、 灾 备 中心 的 等 级 划分 及 灾难 恢复 预案 的 制定 ， 使 灾难 恢复 建 
设 迈 上 了 一 个 新 的 台阶 。2007 年 6 月 14 日 发 布 的 国家 标准 GB/T 20988 一 2007《 信 息 系 统 灾 难 恢复 规范 》， 进 一 步 促 进 了 我 国 的 
灾难 恢复 建设 。 


2. 灾 难 恢复 相关 基本 概念 


目前 ， 业 务 连续 性 管理 /灾难 恢复 管理 更 加 强调 了 对 业务 的 支持 。 业 务 连续 性 管理 /灾难 恢复 管理 涉及 如 下 一 系列 相关 的 概 


人 
/以 


灾难 ， 是 指 由 于 人 为 或 自然 的 原因 ， 造 成 信息 系统 严重 故障 或 瘫痪 ,使 信息 系统 支持 的 业务 功能 停顿 或 服务 水 平 不 可 接受 、 
达到 | 特定 时 间 的 突 发 性 事件 ， 通 常 导致 信息 系统 需要 切换 到 灾难 备份 中 心 运行 。 


灾难 恢复 ， 是 为 了 将 信息 系统 从 灾难 造成 的 故障 或 瘫痪 状态 恢复 到 可 正常 运行 状态 ， 并 将 其 支持 的 业务 功能 从 灾难 造成 的 不 
正常 状态 恢复 到 可 接受 状态 而 设计 的 活动 和 流程 。 

灾难 恢复 规划 是 为 了 减少 灾难 带 来 的 损失 和 保证 信息 系统 所 支持 的 关键 业务 功能 在 灾难 发 生 后 能 及 时 恢复 和 继续 运作 所 做 的 
事前 计划 和 安排 。 


灾难 恢复 预案 /计划 是 定义 信息 系统 灾难 恢复 过 程 中 所 需 的 任务 、 行 动 、 数 据 和 资源 的 文件 ， 用 于 指导 相关 人 员 在 预定 的 灾 
难 恢复 目标 内 恢复 信息 系统 支持 的 关键 业务 功能 。 


灾难 恢复 能 力 (Disaster Recovery Capability，DRC) ， 是 在 灾难 发 生 后 利用 灾难 恢复 资源 和 灾难 恢复 预案 及 时 恢复 和 继 
续 运 作 的 能 力 。 


业务 连续 性 规划 是 灾难 事件 的 预防 和 反应 机 制 ， 是 一 系列 事先 制定 的 策略 和 规划 ， 确 保单 位 在 面临 突 发 的 灾难 事件 时 ， 关 键 
业务 功能 能 持续 运作 、 有 效 地 发 挥 作 用 ， 以 保证 业务 的 正常 和 连续 。 业 务 连 续 规划 不 仅仅 包括 对 信息 系统 的 恢复 ， 而 且 包括 关键 
业务 运作 、 人 员 及 其 他 重要 资源 等 的 恢复 和 持续 。 


业务 连续 性 预案 /计划 ， 是 在 准备 就 绪 方 面 所 开发 、 编 制 和 维护 的 程序 和 信息 的 文件 集 ， 用 于 在 事件 中 使 组 织 能 够 继续 交付 


其 关键 产品 和 服务 。 业 务 连 续 性 计划 通常 包括 业务 恢复 计划 、 运 行 连续 性 计划 (Continuity of Operations Plan，COP) 、 事 
件 响应 计划 (Incident Response Plan，IRP) 、 应 急 响 应 计划 (Emergency Response Plan，ERP) 、 人 员 紧 急 计 划 
(Occupant Emergency Plan，OEP) 、 危 机 沟通 规划 (Crisis Communication Plan，CCP) 和 灾难 恢复 计划 等 。 


业务 连续 性 管理 (Business Continuity Management，BCM) ， 是 为 保护 组 织 的 利益 、 声 誉 、 品 牌 和 价值 创造 活动 ， 找 
出 对 组 织 有 潜在 影响 的 威胁 ， 提 供 建设 组 织 有 效 反应 恢复 能 力 的 框架 的 整体 管理 过 程 。 业 务 连续 性 管理 包括 组 织 在 面临 灾难 时 对 
恢复 或 连续 性 的 管理 ， 以 及 为 保证 业务 连续 计划 或 灾难 恢复 预案 的 有 效 性 的 培训 、 演 练 和 检查 的 全 部 过 程 。 


恢复 时 间 目 标 ， 是 指 灾难 发 生 后 信息 系统 或 业务 功能 从 停顿 到 恢复 的 时 间 要 求 。RTO 代 表 了 一 个 组 织 能 够 承受 的 信息 系统 或 
业务 的 最 长 中 断 时 间 。 


恢复 点 目标 ， 是 灾难 发 生 后 系统 和 数据 必须 恢复 到 的 时 间 点 要 求 。RPO 代 表 了 一 个 组 织 能 够 承受 的 最 大 数据 丢失 量 。 


灾难 备份 ， 为 了 灾难 恢复 而 对 数据 、 数 据 处 理 系 统 、 网 络 系统 、 基 础 设施 、 专 业 技术 支持 能 力 和 运行 维护 管理 能 力 进行 备份 
的 过 程 。 


灾难 备份 系统 (Backup System for Disaster Recovery，BSDR) ， 用 于 灾难 恢复 目的 ， 由 数据 备份 系统 、 备 用 数据 处 理 
系统 和 备用 的 网 络 系统 组 成 的 信息 系统 。 


灾难 备份 中 心 (Backup Center For Disaster Recovery，BCDR) /备用 站 点 (Alternate Site，AS) ， 用 于 灾难 发 生 后 接 
蔡 主 系统 进行 数据 处 理 和 支持 关键 业务 功能 运作 的 场所 ， 可 提供 灾难 备份 系统 、 备 用 的 基础 设备 和 专业 技术 支持 及 运行 维护 管理 
能 力 。 此 场所 内 或 周边 可 提供 备用 的 生活 设施 。 


3. 灾 难 恢复 组 织 


灾难 恢复 组 织 应 由 管理 、 业 务 、 技 术 和 行政 后 勤 等 人 员 组 成 ， 通 常会 分 为 淡 难 恢复 规划 领导 小 组 、 灾 难 恢复 规划 实施 组 和 灾 
难 恢复 规划 日 常 运行 组 等 角色 。 其 中 ， 实 施 组 的 人 员 在 实施 任务 完成 后 可 成 为 日 常 运行 组 的 成 员 。 组 织 可 聘请 外 部 专家 协助 灾难 
恢复 规划 工作 ， 也 可 委托 外 部 机 构 承担 实施 组 和 运行 组 的 部 分 或 全 部 工作 。 


常见 的 灾难 恢复 组 织 结构 如 图 6-2 所 示 。 
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灾难 恢复 领导 小 组 ， 是 实施 灾难 恢复 规划 工作 的 组 织 领导 机 构 ， 组 长 应 由 单位 高 层 领导 担任 ， 





图 6-2 ”灾难 恢复 组 织 结构 


负责 领导 和 决策 灾难 恢复 规划 


重大 事宜 ， 其 一 般 职责 包括 审核 并 批准 经 费 预算 、 审 核 并 批准 灾难 恢复 策略 、 审 核 并 批准 灾难 恢复 预案 、 组 织 灾难 恢复 预案 的 测 
试 和 演练 、 批 准 灾难 恢复 预案 的 执行 等 。 灾 难 恢复 实施 组 的 一 般 职责 包括 灾难 恢复 的 需求 分 析 、 提 出 灾难 恢复 策略 和 等 级 、 灾 难 
恢复 策略 的 实现 、 制 定 灾难 恢复 预案 等 。 灾 难 恢复 日 常 运行 组 的 一 般 职责 包括 灾难 备份 中 心 日 常 管 理 、 灾 难 备份 系统 的 运行 和 维 
护 、 灾 难 恢复 的 技术 支持 、 灾 难 恢 复 预 案 的 教育 及 培训 和 演练 、 维 护 和 管理 灾难 恢复 预案 、 突 发 事件 发 生 时 的 损失 控制 和 损害 评 
估 、 灾 难 发 生 后 信息 系统 和 业务 功能 的 恢复 、 灾 难 发 生 后 的 外 部 协作 等 。 


4. 灾 难 恢复 战略 


合适 的 数据 备份 及 恢复 战略 是 避免 丢失 重要 数据 、 有 效 恢复 和 满足 业务 运营 需要 的 保证 。 组 织 应 根据 自身 的 业务 性 质 、 数 据 
特点 、 信 息 系统 规模 、 业 务 影响 分 析 的 结果 (主要 是 RTO、RPO 这 两 个 指标 ) ， 来 制定 适当 的 备份 及 恢复 战略 。 例 如 ， 实 时 性 
业务 与 非 实 时 性 业务 的 战略 应 完全 不 同 ， 不 能 承受 数据 数据 丢失 与 可 以 承受 较 大 数据 丢失 的 战略 也 应 完全 不 同等 。 备 份 及 恢复 战 
略 的 不 同 ， 将 决定 组 织 选 择 不 同 的 存储 技术 、 备 份 技术 和 备用 场所 。 


5. 备 份 策略 和 恢复 步骤 及 测试 


日 常 的 备份 工作 、 备 份 数 据 的 测试 ， 是 最 基础 的 一 项 工作 ， 也 是 最 重要 的 一 项 工作 ， 是 恢复 的 基础 。 组 织 应 要 求 相 关 人 员 识 
别 所 有 需要 备份 的 数据 项 ， 编 制 诸 如 《备份 策略 和 恢复 步骤 》 的 文档 ， 分 别 对 每 一 需 备 份 数 据 项 的 备份 策略 、 详 细 恢复 步骤 、 测 
试 要求 进 行 详细 的 描述 ， 因 为 不 同类 型 的 数据 ， 其 特点 不 同 ， 备 份 策略 和 恢复 步骤 可 能 完全 不 同 。 


恢复 步骤 写 得 越 详细 越 好 ， 应 具体 到 每 一 个 操作 步骤 ， 不 能 有 任何 省 略 ， 尤 其 不 要 假定 恢复 人 员 是 知道 某 一 步骤 的 而 对 其 省 
略 。 恢 复 步 骤 详 细 到 足以 让 非 备 份 /恢复 人 员 看 了 以 后 也 能 成 功 恢复 ， 才 能 称 得 上 是 合格 的 。 


6.2.2 ”灾难 恢复 管理 过 程 
言 息 系 统 的 灾难 恢复 工作 ， 不 仅 包 括 灾难 恢复 规划 和 灾难 备份 中 心 的 日 常 运行 ， 还 包括 灾难 发 生 后 的 应 急 响 应 、 关 键 业务 功 
能 在 灾难 备份 中 心 的 恢复 和 重 续 运行 ， 以 及 生产 系统 的 灾后 重建 和 回 退 工 作 ， 还 涉及 突 发 事件 的 应 急 响 应 。 


其 中 ， 灾 难 恢复 规划 是 灾难 恢复 管理 工作 中 最 重要 的 一 项 工作 ， 是 其 他 灾难 恢复 工作 基础 。 组 织 应 对 灾难 恢复 规划 这 项 工作 
本 身 有 适当 的 管理 ， 如 应 评估 灾难 恢复 规划 过 程 本 身 的 风险 、 筹 备 所 需 资源 、 确 定 详细 任务 及 时 间 表 、 监 督 和 管理 规划 活动 、 跟 
踪 和 报告 任务 进展 和 对 问题 和 变更 进行 管理 。 


另外 ， 灾 难 恢复 的 外 部 协作 ， 也 是 确保 信息 系统 能 够 及 时 有 效 恢复 的 因素 之 一 。 组 织 应 与 相关 管理 部 门 、 设 备 及 服务 提供 
商 、 电 信 、 电 力 和 新 闻 媒 体 等 保持 联络 和 协作 ， 以 确保 在 灾难 发 生 时 能 及 时 通报 准确 情况 和 获得 适当 支持 。 


后 ， 组 织 灾难 恢复 的 等 级 评定 、 灾 难 恢复 预案 的 制定 ， 应 按 有 关 规 定 进行 审计 和 备案 。 


千 


灾难 恢复 规划 是 一 个 周而复始 、 持 续 改 进 的 过 程 ， 包 含 以 下 4 个 阶段 : 灾难 恢复 需求 分 析 ， 灾 难 恢复 策略 制定 ， 灾 难 恢复 策 
略 实现 ， 灾 难 恢复 预案 的 制定 和 管理 ， 如 图 6-3 所 示 。 
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图 6-3 ”灾难 恢复 规划 管理 过 程 
1. 灾 难 恢复 需求 分 析 


灾难 恢复 需求 分 析 主 要 包括 风险 分 析 (Risk Analysis，RA) 、 业 务 影 响 分 析 (BIA) 和 确定 灾难 恢复 目标 3 个 子 步 又。 确定 
灾难 恢复 目标 ， 是 根据 风险 分 析 和 业务 影响 分 析 的 结果 ， 确 定 灾难 恢复 目标 ， 包 括 : 关键 业务 功能 及 恢复 的 优先 顺序 ;灾难 恢复 
时 间 范 围 ， 即 RTO 和 RPO 两 个 指标 的 要 求 。 图 6-4 为 业务 影响 分 析 流 程 示例 ;图 6-5 为 确定 灾难 恢复 目标 流程 示例 。 
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图 6-4 业务 影响 分 析 (BIA) 示例 


确定 灾难 恢复 目标 : 
确定 恢复 优先 级 和 RTO/RPO 
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图 6-5 确定 灾难 恢复 目标 示例 

2. 灾 难 恢复 策略 制定 


制定 灾难 恢复 策略 ， 即 要 明确 需要 哪些 灾难 恢复 资源 、 各 项 灾难 恢复 资源 的 获取 方式 ， 以 及 对 各 项 灾难 恢复 资源 的 具体 要 求 
( 即 需 要 具备 的 灾难 恢复 能 力 等 级 ) 。 


组 织 应 根据 灾难 恢复 需求 /目标 ， 按 照 灾 难 恢 复 资源 的 成 本 与 风险 可 能 造成 的 损失 之 间 取 得 平衡 的 原则 ， 即 “成 本 风险 平衡 
原则 ”， 确 定 每 项 关键 业务 功能 的 灾难 恢复 策略 ， 不 同 的 业务 功能 可 采用 不 同 的 灾难 恢复 策略 。 首 先 ， 要 明确 所 需 的 灾难 恢复 资 
源 。 组 织 应 根据 灾难 恢复 需求 /目标 确定 需要 哪些 灾难 恢复 资源 。 通 常 ， 将 灾难 恢复 资源 分 为 7 大 类 (7 个 要 素 ) : 数据 备份 系 

统 、 备 用 数据 处 理 系统 、 备 用 网 络 系统 、 备 用 基础 设施 、 专 业 技 术 支 持 能 力 、 运 行 维护 管理 能 力 和 灾难 恢复 预案 。 其 次 ， 要 明确 


灾难 恢复 资源 的 获取 方式 ; 最后， 明确 对 灾难 恢复 资源 的 具体 要 求 。 
3. 灾 难 恢 复 策略 实现 


在 制定 灾难 恢复 策略 以 后 ， 就 要 实现 灾难 恢复 策略 。 灾 难 恢复 策略 实现 通常 包括 选择 和 建设 灾难 备份 中 心 、 实 现 灾 备 系统 技 
术 方 案 、 实 现 专业 技术 支持 能 力 和 实现 运行 维护 管理 能 力 4 个 步骤 。 

1) 选择 和 建设 灾难 备份 中 心 。 选 择 或 建设 灾难 备份 中 心 ， 应 遵循 一 般 的 选 址 原则 。Q@ 选 择 或 建设 灾难 备份 中 心 时 ， 应 根据 
风险 评估 的 结果 ， 人 避免 灾难 备份 中 心 与 生产 中 心 同 时 遭受 同类 风险 。 根 据 规避 灾难 风险 影响 范围 的 不 同 ， 灾 难 备 份 中 心 分 同城 和 
异地 两 种 类 型 ， 二 者 的 对 比 见 表 6-1。 名 灾难 备份 中 心 应 具有 数据 备份 和 灾难 恢复 所 需 的 通信 、 电 力 等 资源 ， 以 及 方便 灾难 恢复 
人 员 和 设备 到 达 的 交通 条 件 。@ 灾 难 备份 中 心 应 根据 统筹 规划 、 资 源 共 享 、 平 战 结合 的 原则 ， 合 理 布局 。 


表 6-1 同城 和 异地 灾难 备份 中 心 的 对 比 


异 地 
灾难 备份 中 心 不 会 同时 遭受 与 生产 中 心 同 

de 风险 威胁 的 地 点 ,例如 距离 生产 中 心 在 
数 百 公里 以 上 

技术 上 可 以 支持 同步 的 数据 实时 备份 方式 、 便 于 运 | 对 地 震 、 地 区 停电 、 战 争 等 大 规模 灾难 防范 
营 管 理 和 灾难 演练 能 力 较 强 

抵御 灾难 能 力 方面 有 局 限 性 ， 对 地 震 、 地 区 停电 、| 技术 上 只 能 支持 异步 或 定点 复制 的 数据 方 
战争 等 大 规模 灾难 防范 能 力 较 弱 式 ， 运 营 管理 和 灾难 演练 的 成 本 较 高 


指 灾难 备份 中 心 与 生产 中 心 处 于 同一 区 域 性 风险 威 
胁 的 地 点 ,但 又 有 一 定 距 离 ， 例 如 在 数 十 公里 以 内 





在 选择 或 建设 灾 备 中 心 时 ， 应 满足 对 基础 设施 的 基本 要 求 。@ 在 新 建 或 选用 灾难 备份 中 心 的 基础 设施 时 ,计算机 机 房 应 符合 
国家 相关 标准 的 要 求 ， 如 GB/T 2887 一 2011《 计 算 机 场地 通用 规范 》、GB 50174 一 2008《 电 子 信息 系统 机 房 设 计 规 范 》、GB 
50462 一 2008《 电 子 信息 系统 机 房 施工 及 验收 规范 》 等 的 要 求 。@ 工 作 辅 助 设施 和 生活 设施 应 符合 灾难 恢复 目标 的 要 求 ， 主 要 
包括 表 6-2 中 说 明 的 几 个 方面 。 


表 6-2 ”对 灾难 备份 中 心 基础 设施 的 基本 要 求 


设施 类 型 说 ” 朋 
9 息 系 统 工 | 位 于 灾难 备份 中 心 的 核心 区 域 的 信息 系统 设备 及 相关 配套 设备 ， 主 要 包括 : 
计 ee 操作 室 、 通 信和 机 房 、 介 质 机 房 和 信息 系统 设备 测试 维 Pd 等 
位 于 灾难 备份 中 心 的 保障 设备 区 域 ， 用 来 保障 灾难 备份 中 心 7x 24 小 时 运行 
的 设施 ， 主 要 包括 : 供 配 电 设施 、 空 调 暧 通 设 施 、 给 排水 设施 、 消 防 设施 、 监 
控 设 施 和 货运 设施 等 
RE i A ER 
会 议 室 、 资 料 室 、 值 班 室 、 仓 库 、 客 户 接 待 室 、 客 户 休 息 室 、 客 户 活动 区 域 、 
停车 场 和 货物 装 御 区 等 
辅助 设施 灾难 恢复 辅 | 灾 准备 份 中 心 提供 灾难 恢复 用 途 的 设施 ， 主 要 包括 : 灾难 恢复 指挥 中 心 、 灾 
助 设施 难 恢复 座席 区 、 办 公 区 、 新 闻 发 布 中 心 (多 媒体 室 )、 会 议 室 和 打印 传真 室 等 
灾难 恢复 培 | 灾难 入 份 中 心 供用 于 灾难 恢复 或 业务 连续 性 培训 的 设施 ， 主 要 包括 : 培训 
训 设施 教室 、 模 拟 演 练 室 和 培训 人 员 办 公 室 等 
保障 人 员 生 是 供给 灾难 备 从 让 性 7x24 小 时 运行 而 配备 的 人 员 生 活 所 必需 的 设施 ， 主 要 
活 设施 包括 : 宿舍 、 食 党 、 健 身 房 和 阅览 室 等 生活 设施 
灾难 恢复 人 提供 给 灾难 恢复 或 灾难 恢复 培训 人 员 所 需要 的 生活 设施 ， 主 要 包括 : 客房 和 
员 生 活 设施 食管 等 生活 设施 


[ 作 设 施 


灾难 备份 中 
心 辅助 设施 


生活 设施 





2) 实现 灾难 备份 系统 技术 方案 。 主 要 经 过 3 个 步骤 : 技术 方案 的 设计 ， 技 术 方 案 的 验证 、 确 认 和 系统 开发 ， 系 统 安装 和 测 
试 。 


3) 实现 专业 技术 支持 能 力 。 组 织 应 根据 灾难 恢复 策略 的 要 求 ， 获 取 对 灾难 备份 系统 的 技术 支持 能 力 。 灾 难 备 份 中 心 应 建立 
相应 的 技术 支持 组 织 ， 定 期 对 技术 支持 人 员 进 行 技能 的 教育 和 培训 。 


4) 实现 运行 维护 管理 能 力 。 为 了 实现 灾难 恢复 目标 ， 灾 难 备份 中 心 应 建立 各 种 操作 规程 和 管理 制度 ， 用 以 保证 : 数据 备份 
的 及 时 性 和 有 效 性 ; 备用 数据 处 理 系统 和 备用 网 络 系统 处 于 正常 状态 ， 并 与 生产 系统 的 参数 保持 一 致 ， 有 效 的 应 急 响 应 、 处 理 能 
力 。 


4. 灾 难 恢复 预案 制定 和 管理 


灾难 恢复 预案 制定 和 管理 是 灾难 恢复 规划 的 重要 内 容 ， 主 要 包括 3 方面 的 工作 。 第 一 ， 制 定 灾难 恢复 预案 。 灾 难 恢 复 预 案 的 
制定 应 遵守 以 下 常规 原则 : 完整 性 、 易 用 性 、 明 确 性 、 有 效 性 和 兼容 性 。 灾 难 恢 复 预 案 制定 的 过 程 应 合理 县 规范 ， 通 常 包括 7 个 


阶段 : 制定 框架 、 起 草 、 评 审 、 修 订 、 测 试 、 完 善 、 审 核 和 批准 。 灾 难 恢复 预案 框架 可 参见 GB/T 20988 一 2007《 信 息 系 统 灾难 
恢复 规范 》 附 录 B。 第 二 ， 教 育 、 培 训 和 演练 灾难 恢复 预案 。 第 三 ， 管 理 灾难 恢复 预案 。 


6.2.3 ”灾难 恢复 能 力 


一 个 组 织 具备 了 7 类 灾难 恢复 要 素 中 的 哪些 要 素 、 具 备 的 具体 灾难 恢复 资源 的 程度 如 何 ， 决 定 了 这 个 组 织 的 灾难 恢复 能 力 的 
强 弱 。 





1. 灾 难 恢复 级 别 


依据 具备 的 灾难 恢复 资源 程度 的 不 同 ， 灾 难 恢复 能 力 分 为 6 个 等 级 ， 由 低 到 高 分 别 是 第 1 级 : 基本 支持 ; 第 2 级 : 备用 场地 支 
持 ; 第 3 级 : 电子 传输 和 部 分 设备 支持 ; 第 4 级 : 电子 传输 及 完整 设备 支持 ; 第 5 级 : 实时 数据 传输 及 完整 设备 支持 ; 第 6 级 : 数 
据 零 丢失 和 远程 集群 支持 。 


各 个 灾难 恢复 能 力 级 别 对 灾难 恢复 资源 具备 的 程度 要 求 如 下 。 
(1) 第 1 级 基本 支持 


若 要 具备 第 1 级 基本 支持 级 别 的 灾难 恢复 能 力 ， 组 织 应 每 周至 少 做 一 次 完全 数据 备份 ， 将 备份 介质 在 场 外 存放 ; 同时 还 需要 


有 符合 介质 存放 的 场地 ; 要 制定 介质 存放 、 验 证 和 转 储 的 管理 制度 ， 并 按 介质 特性 对 备份 数据 进行 定期 的 有 效 性 验证 ;需要 制定 
经 过 完整 测试 和 演练 的 灾难 恢复 预案 。 


(2) 第 2 级 备用 场地 支持 


若 要 具备 第 2 级 备用 场地 支持 级 别 的 灾难 恢复 能 力 ， 组 织 应 在 第 1 级 的 基础 上 ， 增 加 了 对 备用 数据 处 理 系统 、 备 用 网 络 系统 
两 个 恢复 要 求 的 要 求 ; 备用 基础 设施 增加 了 需要 有 备用 的 场地 ， 其 能 满足 信息 系统 和 关键 功能 恢复 运行 的 要 求 ; 对 于 组 织 的 运行 
维护 管理 能 力 ， 也 增加 了 具有 备份 场地 管理 制度 和 签署 符合 灾难 恢复 时 间 要 求 的 紧急 供 货 协议 等 要 求 。 


(3) 第 3 级 电子 传输 和 部 分 设备 支持 
若 要 具备 第 3 级 电子 传输 和 部 分 设备 支持 级 别 的 灾难 恢复 能 力 ， 组 织 应 在 第 2 级 的 基础 上 ， 增 强 要 求 配置 部 分 数据 处 理 设 


备 、 部 分 通信 线路 和 网 络 设备 ; 要 求 每 天 实现 多 次 的 数据 电子 传输 ; 对 于 专业 技术 支持 能 力 ， 要 求 在 备用 场地 配置 专职 的 运行 管 
理 人 员 ; 对 于 运行 维护 管理 能 力 ， 要 求 具 备 备 用 计算 机 机 房管 理 制度 和 电子 传输 备份 系统 运行 管理 制度 等 。 


(4) 第 4 级 电子 传输 及 完整 设备 支持 


若 要 具备 第 4 级 电子 传输 及 完整 设备 支持 级 别 的 灾难 恢复 能 力 ， 组 织 应 在 第 3 级 的 基础 上 ， 增 强 对 备用 数据 处 理 系 统 、 备 用 
网 络 系统 、 备 用 基础 设施 、 专 业 技 术 支 持 能 力 和 运行 维护 管理 能 力 等 灾难 恢复 要 求 的 要 求 ， 例 如 ， 要 求 配置 灾难 恢复 所 需要 的 全 
部 数据 处 理 设 备 、 通 信 线 路 和 网 络 设备 ， 并 处 于 就 绪 状 态 ; 备用 场地 也 提出 了 7x24 人 小 时 运行 的 要 求 等 。 


(5) 第 5 级 实时 数据 传输 及 完整 设备 支持 


若 要 具备 第 5 级 实时 数据 传输 及 完整 设备 支持 级 别 的 灾难 恢复 能 力 ， 组 织 应 在 第 4 级 的 基础 上 ， 增 强 对 数据 备份 系统 、 备 用 
网 络 系统 、 备 用 基础 设施 、 专 业 技术 支持 能 力 、 运 行 维护 管理 能 力 等 灾难 恢复 要 求 的 要 求 ， 例 如 ， 要 求 采用 远程 数据 复制 技术 ， 
利用 网 络 将 关键 数据 实时 复制 到 备用 场地 ; 备用 网 路 应 具备 自动 或 集中 切换 能 力 ; 备用 场地 有 7x24 专 职 数据 备份 、 硬 件 和 网 络 
技术 支持 人 员 ， 具 备 较 严格 的 运行 管理 制度 等 。 


(6) 第 6 级 数据 零 丢 失 和 远程 集群 支持 


若 要 具备 第 6 级 数据 零 丢 失 和 远程 集群 支持 级 别 的 灾难 恢复 能 力 ， 组 织 应 在 第 5 级 的 基础 上 满足 对 灾难 恢复 要 素 的 更 为 严格 
的 要 求 ， 例 如 ， 要 求实 现 远程 数据 实时 备份 ， 实 现 零 丢失 ; 备用 数据 处 理 系统 具备 与 生产 数据 处 理 系统 一 致 的 处 理 能 力 并 完全 兼 
容 ， 应 用 软件 是 集群 的 ， 可 以 实现 实时 无 颖 切换 ， 并 具备 远程 集群 系统 的 实施 监控 和 自动 切换 能 力 ; 对 于 备用 网 络 系统 的 要 求 也 
加 强 ， 要 求 最 终 用 户 可 通过 网 络 同时 接 入 主 、 备 中 心 ; 备用 场地 还 要 有 7x 24 小 时 专职 操作 系统 、 数 据 库 和 应 用 软件 的 技术 支持 
人 员 ， 具 备 完善 、 严 格 的 运行 管理 制度 。 


各 个 灾难 恢复 能 力 级 别 对 灾难 恢复 要 素 的 具体 要 求 参见 GB/T 20988 一 2007《 信 息 系统 灾难 恢复 规范 》。 
2. 确 定 灾难 恢复 能 力 级 别 


组 织 所 应 依据 具有 的 灾难 恢复 能 力 级 别 ， 应 依据 灾难 恢复 需要 分 析 的 结果 来 确定 ， 其 中 ， 主 要 是 依据 业务 影响 分 析 而 得 出 的 
各 项 业务 /信息 系统 的 RTO、RPO 两 个 指标 来 确定 。 通 常 ， 可 参照 表 6-3， 来 确定 组 织 所 需要 的 灾难 恢复 能 力 级 别 。 


表 6-3 RTO/RPO 与 所 需 灾 难 恢复 能 力 级 别 的 关系 


FTO 人 


48 小 时 以 上 1 7 天 1 
12 ~ 24 小 时 数 小 时 ~ 1 天 3 
2 ~ 12 小 时 数 小 时 ~ 1 天 4 


30 分 钟 ~ 2 小 时 0 ~ 30 分 钟 5 
小 于 30 分 钟 °° | 6 


6.3 ”灾难 恢复 相关 技术 


灾难 恢复 管理 是 一 门 综合 学 科 ， 涉 及 很 多 基础 技术 ， 如 人 存储 技术 、 备 份 技术 、RAID 磁 盘 高 可 用 性 技术 ， 以 及 各 种 备用 站 点 / 
场所 。 


6.3.1 存储 技术 


依据 网 络 存 储 结构 ， 计 算 机 数据 存储 技术 主要 分 为 直接 附加 存储 (Direct Attached Storage，DAS) 、 网 络 附加 存储 
(Network Attached Storage，NAS) 和 存储 区 域 网 络 (Storage Area Network，SAN) 3 种 。 


直接 附加 存储 也 称 为 服务 器 附加 存储 (Server Attached Storage，SAS) ，DAS 被 定义 为 直接 连接 在 各 种 服务 器 或 客户 端 
扩展 接口 下 的 数据 存储 设备 ， 它 依赖 于 计算 机 ， 其 本 身 是 硬件 的 堆 严 ， 不 带 有 任何 存储 操作 系统 。 在 这 种 方式 中 ， 存 储 设备 是 通 
过 电缆 ， 通 常 是 小 型 计算 机 系统 接口 (Small Computer System Interface，SCSI) 电缆 或 光缆 (Fiber Channel，FC) 直接 连 
接 到 计算 机 的 , 输入 /输出 (Input/Output，I/O) 请 求 直接 发 送 到 存储 设备 。DAS 是 计算 机 系统 中 最 常用 的 数据 存储 方法 ， 其 
优点 包括 适用 于 服务 器 物理 位 置 比较 分 散 的 情况 、 容 易 实 现 大 容量 存储 、 实 现 了 操作 系统 与 数据 的 分 离 、 存 取 性 能 较 高 和 实施 简 
单 等 方面 ， 缺 点 包括 对 服务 器 依赖 性 强 (服务 器 发 生 故 障 时 ， 连 接 在 服务 器 上 的 存储 设备 中 的 数据 不 能 被 存 取 ) 、 占 用 服务 器 资 


源 、 扩 展 性 较 差 且 扩展 时 需要 停机 、 资 源 利用 率 低 、 可 管理 性 差 (对 于 整个 环境 下 的 人 存储 系统 管理 ， 工 作 烦 琐 而 重复 ， 没 有 集中 
管理 解决 方案 ， 所 以 总 拥有 成 本 (TCO) 较 高 ) 和 异 构 化 严重 等 。 


网 络 附 加 存储 是 一 种 直接 通过 网 络 接口 将 存储 设备 与 网 络 相 连 实现 数据 存储 的 机 制 ， 不 再 通过 I/O 总 线 将 存储 设备 附属 于 某 
个 特定 的 计算 机 ， 而 是 由 用 户 通过 网 络 访问 。 通 常 NAS 由 存储 设备 、NAS 控 制 器 和 网 络 部 分 构成 。 目 前 采用 网 络 文件 系统 
(Network File System，NFS) (基于 UNIX 环 境 的 网 络 文 件 系 统 ) 和 通用 Internet 文 件 系 统 (Common Internet File 
System，CIFS) (基于 Windows 的 网 络 文件 系统 ) 协议 实现 数据 存储 。 由 于 NAS 设 备 都 分 配 有 IP 地 址 ， 本 身 就 是 一 台 精 简 的 计 
算 机 ， 所 以 客户 机 通过 充当 数据 网 关 的 服务 器 可 以 对 其 进行 存 取 访 问 ， 甚 至 在 某 些 情况 下 ， 不 需要 任何 中 间 介 质 ， 客 户 机 也 可 以 
直接 访问 这 些 设备 。NAS 的 优点 非常 鲜明 ，NAS 作 为 一 台独 立 的 设备 连接 在 网 络 上 ， 非 常 易 于 安装 、 部 署 和 管理 ， 这 人 允许 NAS 
主机 、 客 户 机 和 其 他 设备 广泛 分 布 在 整个 企业 的 网 络 环境 中 ; NAS 不 占用 服务 器 资源 、 可 以 跨 平 台 使 用 、 较 DAS 节 省 硬盘 空 
间 ， 数 据 非 常 集中 ， 便 于 对 数据 进行 管理 和 备份 ，NAS 适 用 于 那些 需要 通过 网 络 将 文件 数据 传送 到 多 台 客 户 机 上 的 用 户 ，NAS 
设备 在 数据 必须 长 距离 传送 的 环境 中 可 以 很 好 地 发 挥 作用 ; NAS 可 以 提供 可 靠 的 文件 级 数据 整合 ， 因 为 文件 锁定 是 由 设备 自身 
来 处 理 的 ;，NAS 可 应 用 于 高 效 的 文件 共享 任务 中 ， 例 如 UNIX 中 的 NFS 和 Windows NT 中 的 CIFS， 其 中 基于 网 络 的 文件 级 锁定 提 
供 了 高 级 并 发 访问 保护 的 功能 。NAS 的 缺点 是 占用 网 络 带宽 ， 且 不 易 扩展 。 


存储 区 域 网 络 是 指 存储 设备 相互 连接 且 与 一 台 服 务 器 或 一 个 服务 器 群 相连 的 高 速 专用 子 网 。 其 中 的 服务 器 用 作 SAN 的 接 入 
点 。 在 有 些 配 置 中 ，SAN 也 与 网 络 相连 。 在 SAN 中 将 特殊 交换 机 当 作 连 接 设 备 ， 它 们 看 起 来 很 像 常规 的 以 太 网 络 交 换 机 ， 是 
SAN 中 的 连通 点 。 早 期 的 SAN 采 用 的 是 FC 技术 ， 所 以 ， 以 前 的 SAN 多 指 采 用 光纤 通道 的 存储 区 域 网 络 ， 到 了 互联 网 小 型 计算 机 
系统 接口 (Internet Small Computer System Interface，1SCSI) 协议 出 现 以 后 ， 为 了 区 分 ， 业 界 就 把 SAN 分 为 FC-SAN 和 1P- 
SAN。1SCSI 是 一 种 在 传输 控制 协议 /互联 网 协议 (Transmission Control Protocol/Internet Protocol，TCP/IP) 上 进行 数据 
块 传输 的 标准 ， 是 由 Cisco 和 1BM 两 家 公司 发 起 的 ， 并 且 得 到 了 各 大 存储 厂商 的 大 力 支持 ，2003 年 2 月 11 日 互联 网 工程 任务 组 

(Internet Engineering Task Force，IETF) 发 布 了 ISCSI 标 准 。1SCSI 可 以 实现 在 IP 网 络 上 运行 SCSI 协 议 ， 使 其 能 够 在 诸如 高 
速 干 兆 以 太 网 上 进行 快速 的 数据 人 存储 备份 操作 。 基 于 1SCSI 的 存储 系统 只 需要 不 多 的 投资 便 可 实现 SAN 存 储 功能 ， 甚 至 直接 利用 
现 有 的 TCP/IP 网 络 。SAN 的 优点 体现 在 数据 存储 不 影响 服务 器 和 网 络 的 性 能 ;效率 高 、 容 量 大 、 可 扩展 性 强 ; 支持 异 构 服务 器 
等 方面 。SAN 的 缺点 是 价格 高 ， 这 对 于 小 型 系统 来 说 很 不 划算 ; 当 服 务 器 物理 位 置 很 分 散 时 ，SAN 不 容易 实施 。 


6.3.2 ”备份 技术 


备份 技术 不 仅仅 是 灾难 管理 工作 的 需要 ， 当 数据 资源 由 于 灾难 、 病 毒 、 黑 客 攻击 、 误 操作 、 硬 件 故障 等 遭 到 损失 、 破 坏 、 寻 


坏 时 ， 备 份 是 最 后 也 是 唯一 的 办 法 。 备 份 的 重要 性 及 相关 技术 和 操作 ， 在 信息 安全 领域 中 怎么 强调 都 不 过 分 。 
(1) 备份 方式 


在 备份 技术 中 ， 主 要 有 全 备份 、 增 量 备份 和 差分 备份 3 种 备份 方式 。 全 备份 是 对 整个 系统 所 有 文件 进行 完全 备份 ， 包 括 所 有 
系统 和 数据 ; 增 量 备份 是 每 次 备份 的 数据 相当 于 上 一 次 备份 后 增加 和 修改 过 的 数据 ; 差分 备份 是 每 次 备份 的 数据 是 相对 于 上 一 次 
全 备份 之 后 新 增加 和 修改 过 的 数据 。 这 3 种 备份 方式 各 有 优 缺 点 ， 在 实际 工作 中 ， 需 要 根据 组 织 各 自 的 备份 需求 ， 结 合 所 使 用 的 
备份 软 硬 件 的 实际 情况 ， 综 合 3 种 备份 方式 ， 制 定 自己 特定 的 备份 策略 。 通 常 ， 要 对 数据 进行 大 量 修改 的 时 候 ， 应 该 先 做 一 次 全 
备份 。 增 量 备份 最 适合 用 来 对 经 常 发 生变 更 的 数据 进行 备份 。 差 分 备份 可 以 把 文件 恢复 过 程 简单 化 。 全 备份 与 增 量 或 差分 备份 合 
用 可 以 做 到 使 用 最 少 的 介质 来 保存 需要 长 期 保存 的 数据 。 表 6-4 列 举 了 3 种 备份 方式 的 优势 与 劣势 。 


表 6-4 不 同 备份 方式 比较 


备份 方式 优 势 劣 势 
当前 系统 备份 中 包含 所 有 的 文件 ; 只 需 | 如果 文件 没有 经 常 变 更 ， 备 份 容易 造成 相当 大 的 元 余 ; 
要 一 份 存储 介质 就 可 以 进行 恢复 工作 


标准 备份 相当 耗 时 
文件 存储 在 多 个 介质 中 ， 因 此 ， 难 以 找到 所 需要 的 


人 EE, 
介质 


增 量 备份 数据 存储 所 需 的 空间 很 小 ; 耗 时 短 


数据 恢复 时 只 需 最 后 一 次 的 标准 备份 | 如 果 备 份 文件 存储 在 单一 介质 上 ， 恢 复 时 间 将 会 很 


差 分 区 份 | \ - wf 上 \ J 和 人 =- 4. 六 上 $ AR 上 ~ 价 1 
“| 与 差分 备份 ; 耗 时 比 标准 备份 短 长 ， 如 果 每 天 都 有 大 量 数据 变化 ， 备 份 工作 非常 费时 





(2) 备份 介质 


有 多 种 多 样 的 存储 介质 可 以 用 来 存放 数据 ， 如 磁带 和 磁盘 。 数 据 也 可 以 复制 到 逻辑 驱动 器 、 可 拆除 磁盘 、 磁 盘 库 或 网 络 共享 
上 。 理 想 的 存储 设备 应 该 有 足够 的 容量 来 备份 数据 ， 并 应 该 有 错误 检测 和 纠正 机 制 。 技 术 总 是 在 不 断 进步 ， 备 份 技术 也 不 例外 。 
因此 ， 实 时 跟踪 市 场 中 最 新 的 存储 设备 发 展 情况 非常 重要 ， 特 别 是 在 决定 采购 合适 设备 之 前 。 最 常用 的 存储 介质 是 磁带 。 备 份 中 
最 常用 的 磁带 类 型 有 四 分 之 一 英寸 卡带 、 数 字音 频带 、8 宫 米 磁 带 和 数字 线性 磁带 ， 也 可 以 使 用 光盘 /高 密度 盘 片 (Compact 
Disk，CD) 、DVD 等 光盘 ， 随 着 硬盘 容量 的 增长 ， 硬 盘 备份 也 成 为 存储 备份 的 一 个 潮流 。 


也 可 以 考虑 远程 存储 。 单 一 的 介质 驱动 器 可 以 通过 网 络 共享 。 这 样 可 以 把 数据 复制 到 远程 计算 机 中 。 远 程 存 储 可 以 看 做 是 加 
强 系统 可 用 性 的 一 种 机 制 ， 保 证 文件 服务 器 可 以 有 充裕 的 空闲 磁盘 空间 。 对 不 经 常 使 用 的 数据 进行 分 离 也 可 以 减少 备份 程序 的 工 
作 量 。 


6.3.3 备用 场所 


备用 场所 /备用 站 点 ， 有 时 也 称 之 为 灾难 备份 中 心 ， 是 指 用 于 灾难 发 生 时 接 蔡 生 产 系 统 运 行进 行 数据 处 理 和 支持 天 键 业 务 功 
能 运作 的 场所 ， 包 括 备用 数据 处 理 中 心 、 备 用 的 工作 环境 、 备 用 生活 设施 和 技术 支持 及 运行 管理 人 员 。 在 灾难 恢复 中 ， 灾 难 通常 
导致 信息 系统 需要 切换 到 备用 场所 运行 。 基 于 备用 场所 具有 的 功能 、 备 战 性 程度 ， 备 用 场所 可 分 为 冷 站 、 温 站 、 热 站 、 移 动 站 和 


镜像 站 等 类 别 。 


冷 站 通常 包含 用 于 支持 上 系统 的 足够 空间 和 基础 设施 (电力 、 电 信和 连接 和 环境 控制 ) 。 此 空间 应 有 抬升 地 板 和 其 他 适用 IT 运 
行 操作 的 设施 。 此 类 站 点 不 包含 IT 设 备 并 且 通 常 不 包含 办 公 自 动 化 设备 , 例如， 电话、 传真 机 或 复印 机 。 使 用 冷 站 时 ， 组 织 要 负 
责 提 供 和 安装 必要 的 设备 和 通信 和 能力。 


温 站 是 包含 部 分 或 所 有 系统 硬件 、 软 件 、 电 信和 电源 资源 装备 的 办 公 空间 。 温 站 维持 于 一 个 运行 维护 状态 以 接受 重 定位 的 系 
统 。 此 类 站 点 可 能 需要 在 接收 系统 和 恢复 人 员 前 进行 一 些 准 备 。 在 很 多 情况 下 ， 温 站 可 以 作为 其 他 系统 或 功能 正常 运营 的 设施 ， 
当 连 续 性 计划 启动 的 事件 发 生 后 ， 其 正常 活动 将 临时 蔡 换 以 容纳 被 中 断 的 系统 。 


热 站 是 有 足够 空间 大 小 以 支持 系统 要 求 和 配备 了 必要 的 系统 硬件 、 支 持 基础 设施 和 支持 人 员 的 办 公 空间 。 热 站 通常 配备 了 1 
周 7 天 、 每 天 24 小 时 (7x24) 的 人 员 。 一 旦 接 到 连续 性 计划 启动 通知 后 ， 热 站 人 员 将 立即 开始 准备 系统 的 运行 。 


移动 站 是 带 有 满足 系统 需求 的 特定 电信 和 |T 设 备 的 为 客户 量 身 定做 的 自 包含 、 可 移动 的 站 点 。 它 们 可 以 通过 商业 三 商 租用 。 
此 设施 通常 包含 在 拖车 尾部 并 可 以 开 往 和 设置 于 所 需 的 后 备 地 点 。 在 绝 大 多 数 情况 下 ， 要 制订 一 个 可 行 的 恢复 方案 ， 在 进行 移动 
站 的 设计 前 应 预先 同 厂 商 联 系 ， 并 在 双方 间 签 订 一 个 服务 水 平 协议 (SLA) 。 这 是 必要 的 ， 因 为 配置 移动 站 所 需 的 时 间 可 能 较 
长 ， 如 果 没 有 预先 的 协调 ， 将 移动 站 送 达 的 时 间 可 能 会 超过 系统 允许 的 中 断 时 间 。 


镜像 站 是 包含 全 部 、 实 时 信息 镜像 的 元 余 设 施 。 镜 像 站 点 同 主 站 点 在 技术 方面 是 完全 相同 的 。 因 为 数据 的 处 理 和 存储 在 主 站 


和 后 备 站 同时 进行 ， 这 种 站 点 提供 了 最 高 级 别 的 可 用 性 ， 站 点 通常 是 由 组 织 机 构 自 己 设计 、 建 设 、 操 作 维护 和 维持 。 


表 6-5 总 结 了 用 于 确定 何 种 备用 场所 类 型 以 适合 组 织 机 构 需求 的 准则 。 组 织 机 构 应 进一步 基于 业务 影响 分 析 中 定义 的 特定 需 
求 对 站 点 进行 分 析 。 在 评估 站 点 时 ， 灾 难 恢复 规划 实施 组 应 确保 系统 的 安全 、 管 理 、 运 行 操作 和 技术 控制 (例如 防火 墙 和 物理 访 
问 控制 ) 同 预期 站 点 相 兼 容 。 此 类 控制 可 以 包含 防火 墙 和 物理 访问 控制 、 数 据 维护 控制 和 站 点 及 支持 此 站 点 的 人 员 安全 许可 级 


别 。 


表 6-5 备用 场所 选择 准则 


站 点 位 置 
冷 站 固定 
温 站 固定 
热 站 固定 


移动 站 于 十 六 不 固定 








若 基 于 建设 和 管理 方式 ， 备 用 场所 又 可 分 为 3 种 类 型 : 由 组 织 拥 有 或 运行 维护 的 专用 站 点 、 同 内 部 或 外 部 实体 通过 签署 互惠 
协议 而 确定 的 备用 站 点 、 向 专业 商业 组 织 租用 的 备用 站 点 。 


由 组 织 拥有 或 运行 维护 的 专用 站 点 ， 是 完全 由 组 织 出 资 建设 、 使 用 、 维 护 和 管理 ， 其 可 以 是 冷战 、 温 站 、 热 站 、 镜 像 站 或 移 
动 站 。 


同 内 部 或 外 部 实体 通过 签署 互惠 协议 而 确定 的 备用 站 点 ， 是 由 两 个 或 更 多 有 相似 或 相同 IT 配置 和 备份 技术 的 组 织 ， 签 订 一 个 
正式 合同 以 相互 间作 为 备用 场所 或 与 同一 个 备用 场所 签订 一 个 联合 合同 。 这 种 类 型 的 站 点 通过 互惠 协议 建立 。 在 签订 互惠 协议 时 
必须 仔细 ， 因 为 每 个 站 点 在 灾难 事件 发 生 后 ， 除 了 本 身 的 工作 负荷 外 还 必须 支持 其 他 站 点 。 这 种 类 型 的 协议 需要 从 联合 的 角度 出 
发 ， 将 两 个 组 织 的 应 用 的 恢复 顺序 排 好 优先 级 。 应 在 合作 伙伴 站 点 进行 测试 ， 对 恢复 战略 功能 外 附加 的 处 理 阔 值 、 系 统 兼 容 性 、 
备份 配置 、 电 信 连 接 是 否 足够 等 安全 措施 进行 评估 。 


向 专业 商业 组 织 租用 的 备用 站 点 ， 需 要 事先 与 专业 商业 组 织 签订 商业 合同 ， 必 须 在 合同 中 协商 并 清晰 地 说 明 足 够 的 测试 时 
间 、 工 作 空间 、 安 全 要 求 、 硬 件 要 求 、 电 信 要 求 、 支 持 服务 和 恢复 时 间 (在 恢复 期 间 ， 组 织 机 构 可 以 占用 空间 多 久 ) 。 客 户 应 意 
识 到 可 能 有 多 个 组 织 与 同一 个 厂商 为 相同 的 备用 场所 签订 合同 ， 因 此 ， 灾 难 同时 影响 这 些 用 户 时 ， 此 站 点 可 能 不 能 同时 满足 所 有 
客户 要 求 。 因 此 ， 应 确定 厂商 处 理 这 种 情况 的 策略 并 确定 这 种 情况 下 的 优先 级 。 


当 通 过 签署 互惠 协议 或 向 专业 商业 组 织 租用 而 获得 备用 站 点 时 ， 组 织 与 合作 伙伴 应 开发 关于 备用 场所 的 理解 备忘录 、 协 议 备 
忘 录 或 服务 级 别 协 议 。 每 一 方 的 法 律 部 门 应 审核 和 批准 此 协议 。 通 常 ， 协 议 至 少 应 解决 下 面 的 所 有 相关 内 容 : 合同 /协议 持续 时 
间 ; 灾难 宣布 和 占用 (日 常 使 用 ) 、 管 理 、 维 护 、 测 试 、 每 年 费用 的 增加 、 交 通 支 持 费 用 (如 果 使 用 ， 接 收 和 返回 后 备 站 数据 / 
供应 ) 的 费用 结构 ， 成 本 /费用 分 配 (如 果 使 用 ) 、 账 单 和 付费 时 间 安 排 ; 灾难 宣布 例如， 构成 灾难 的 情况 ， 通 知 流程 ) ; 站 
点 /设施 访问 和 /或 使 用 优先 级 ;站 点 可 用 性 ; 站 点 保证 ; 在 可 行 的 情况 下 ， 定 购 相同 服务 和 站 点 的 其 他 客户 ， 以 及 站 点 定购 的 总 
数 ; 合同 /协议 变更 或 修改 过 程 ; 合同 /协议 终止 条 件 ; 协调 服务 扩展 的 过 程 ; 兼容 性 的 保证 ; 用 于 硬件 、 软 件 和 任何 特殊 系统 要 
求 (硬件 和 软件 ) 的 上 T 系 统 要求 (包括 数据 和 电信 和 要求 ) ; 所 需要 的 变更 管理 和 通告 ， 包 括 硬件 、 软 件 和 基础 设施 ; 安全 要 求 ， 
包括 特殊 的 安全 要 求 ;提供 /不 提供 的 人 员 支 持 ; 提供 /不 提供 的 设施 服务 (使 用 现场 办 公设 备 、 饮 水 等 ) ; 测试 ， 包 括 时 间 安 
排 、 可 用 性 、 测 试 持续 时 长 ， 以 及 需要 时 的 其 他 测试 ;记录 管理 (现场 和 非 现 场 ) ， 包 括 电子 介质 和 硬 拷 贝 ; 服务 级 别管 理 (所 
提供 的 IT 服务 的 质量 的 管理 和 性 能 测量 ) ; 工作 场地 要 求 (例如 椅子 、 桌 、 电 话 和 PC) ; 所 提供 /不 提供 的 其 他 内 容 ; 其 他 地 方 
没有 覆盖 的 费用 ; 其 他 可 适用 的 合同 问题 ; 其 他 可 适用 的 技术 要 求 等 。 


不 管 选择 哪 种 备用 场所 ， 相 应 设施 必须 能 够 满足 在 灾难 恢复 预案 中 定义 的 系统 运行 需求 。 


6.3.4 云 灾 备 技术 


云 计 算 被 认为 是 一 种 基于 IT 基础 设施 的 服务 模式 ， 其 核心 思想 是 将 大 量 用 网 络 连 接 的 资源 统一 管理 和 调度 ， 构 成 一 个 资源 
池 ， 向 用 户 提供 按 需 服务 。 随 着 云 计算 技术 的 发 展 ， 云 灾难 备份 与 恢复 技术 ， 简 称 云 灾 备 技术 应 用 而 生 。 云 灾 备 ， 即 利用 云 环境 
中 的 资源 元 余 特 性 ， 为 用 户 提供 容 灾 抗 毁 能 力 的 一 种 服务 模式 。 云 灾 备 涵盖 了 云 计算 、 容 错 计算 、 可 信 计 算 、 可 生存 技术 等 技 
术 。 在 云 灾 备 模 式 下 ， 使 用 云 灾 备 服务 的 用 户 ， 不 用 关心 数据 备份 和 系统 备份 、 业 务 连 续 规划 、 灾 难 恢复 规划 、 灾 难 恢复 预案 等 
一 系列 应 对 灾难 的 技术 和 管理 问题 。 用 户 可 随时 随地 接 入 ， 有 无 限 的 存储 和 计算 能 力 可 以 使 用 ， 有 安全 可 靠 的 灾 备 服务 。 


云 灾 备 系统 总 体 架构 一 般 包 括 设备 层 、 统 一 管理 层 、 服 务 管理 层 与 业务 层 。 设 备 层 由 海量 服务 器 、 存 储 设备 和 网 络 设备 ， 通 
过 互联 网 连接 在 一 起 。 统 一 管理 层 通过 虚拟 化 技术 、 集 群 技术 将 底层 海量 设备 整合 成 一 个 资源 池 ， 实 现 对 硬件 设备 的 集中 管理 、 
逻辑 虚拟 化 管理 、 设 备 状态 监控 、 故 障 维护 以 及 资源 动态 扩展 。 服 务 管理 层 为 上 层 不 同 服务 提供 统一 的 公共 管理 接口 ， 负 责 对 用 
户 信息 、 数 据 副 本 、 容 灾 策 略 和 数据 安全 等 进行 管理 ， 将 底层 资源 与 上 层 业务 无 颖 连接 ， 对 外 提供 多 种 服务 。 业 务 层 是 云 灾 备 系 
统 中 直接 面向 用 户 ， 可 以 灵活 扩展 的 部 分 。 根 据 用 户 需求 ， 可 提供 数据 容 灾 、 应 用 容 灾 等 服务 。 数 据 容 灾 是 指 通 过 定期 备份 、 持 
续 数据 保护 等 技术 手段 将 用 户 本 地 关键 应 用 数据 复制 到 云 中 ; 应 用 容 灾 是 在 备份 中 心 建立 一 套 完整 的 与 本 地 生产 系统 相当 的 备份 
应 用 系统 。 在 灾难 情况 下 ， 云 灾 备 中 心 的 系统 可 以 迅速 接管 业务 运行 。 


云 灾 备 实质 上 是 一 种 第 三 方 灾 备 的 安全 保护 模式 ， 用 户 利用 服务 提供 商 的 技术 资源 、 灾 备 项 目 经 验 和 成 熟 的 运 维 管理 流程 ， 
快速 实现 客户 的 灾 备 目标 ， 降 低 客 户 的 运 维 成 本 和 工作 强度 ， 降 低 灾 备 系 统 的 总 体 成 本 。 云 环境 的 集中 式 管 理 和 虚拟 化 技术 ,使 
灾难 恢复 的 实施 变 得 简单 。 


6.4 灾难 恢复 案例 


某 省 级 地 方 性 金融 机 构 包 括 若 干 处 室 、 中 心 和 下 属 各 机 构 网 点 。 业 务 可 分 成 内 部 管理 和 面向 外 部 客户 及 整体 金融 数据 服务 两 
大 类 ， 履 盖 人 存款 、 贷 款 、 电 话 银 行 、 个 人 理财 和 身份 证 联网 核查 等 。 本 案例 模拟 金融 业 灾 难 恢复 的 场景 ， 针 对 金融 信息 系统 及 业 
务 ， 开 展 灾 难 恢复 规划 、 管 理 和 实施 等 工作 。 


6.4.1 灾难 恢复 需求 分 析 


随 着 金融 业 信息 化 的 发 展 ， 围 绕 着 核心 业务 系统 的 建设 和 改造 ， 该 机 构建 设 和 完善 了 其 信息 系统 。 该 信息 系统 主要 设施 包括 
1BM 服 务 器 、 操 作 系统 、 数 据 库 系统 、 存 储 设备 ; 通过 中 国电 信 帧 中 继 、 同 步 数 字体 系 (Synchronous Digital 
Hierarchy，SDH) 、 中 国联 通 SDH 等 方式 ， 架 设 省 中 心 与 各 地 、 市 支行 间 的 外 联 线路 。 


该 系统 主要 有 银行 卡 中 心 的 银联 卡 前 置 系 统 、 大 额 支付 前 置 系 统 和 企业 征 信 系统 等 。 通 过 调研 应 用 系统 ， 掌 握 各 系统 使 用 的 
资源 情况 ， 如 银联 卡 前 置 系 统 使 用 的 服务 器 、 存 储 设备 和 对 应 的 外 联机 构 (中 国 银联 ) 。 


在 该 机 构 每 年 365 天 不 间断 的 营业 过 程 中 ， 生 产 中 心机 房 可 能 会 磁 到 诸如 火灾 、 水 灾 、 供 电 系 统 故 障 、 计 算 机 故障 、 网 络 故 


障 ， 甚 至 人 为 破坏 等 灾难 ， 造 成 对 外 业务 的 停顿 。 不 但 影响 机 构 业 务 收 入 ， 更 影响 机 构 信 誉 及 形象 ， 给 机 构 和 客户 造成 不 可 挽回 
的 损失 。 所 以 ， 从 机 构 自身 发 展 需 求 来 看 ， 必 须 未 雨 绸 缪 ， 建 立 灾 难 恢 复 机 制 ， 以 应 对 可 能 发 生 的 灾难 ， 保 证 业务 的 连续 运转 。 


为 了 保护 社会 公众 的 权益 ， 稳 定 社会 经 济 秩序 ， 避 免 金 融 业 遭遇 灾难 造成 业务 中 断 引 发 社会 问题 ， 国 家 对 金融 业 信息 安全 问 
题 十 分 重视 ， 要 求 从 保障 国家 经 济 发 展 的 高 度 ， 充 分 认识 做 好 银行 信息 安全 保障 工作 的 极端 重要 性 。 中 国人 民 银 行 和 中 国 银行 业 
监督 管理 委员 会 陆续 出 台 了 《银行 业 金 融 机 构 信息 安全 保障 工作 的 指导 意见 》 (银发 [2006]123 号 ) 和 《银行 业 金 融 机 构 信息 系 
统 风险 管理 指引 》 ( 银 监 发 [2006]63 号 ) ， 明 确 提 出 了 我 国 银行 业 金融 机 构 信息 安全 保障 工作 的 目标 和 任务 。 中 国人 民 银 行 颁布 
的 《银行 业 信息 系统 灾难 恢复 管理 规范 》， 规 定 了 银行 业 信息 系统 灾难 恢复 应 遵循 的 管理 要 求 ， 对 于 灾难 备份 系统 建设 、 灾 难 恢 
复 规 划 和 具体 的 实施 工作 有 直接 的 指导 意义 ， 对 银行 业 来 说 是 最 重要 的 一 部 规范 。 


规范 中 对 灾难 恢复 需求 分 析 过 程 和 内 容 进行 了 说 明 ， 要 求 通过 风险 分 析 和 业务 影响 分 析 确 定 灾难 恢复 目标 、 恢 复 顺 序 以 及 最 
低 恢 复 资 源 需 求 ， 明 确 提出 : 根据 风险 分 析 和 业务 影响 分 析 的 结论 ， 银 行 的 信息 系统 按时 间 敏 感性 分 成 3 类 需求 等 级 ， 并 按照 成 
本 风险 平衡 的 原则 制定 相应 的 灾难 恢复 策略 。 对 于 第 一 类 信息 系统 ( 短 时 间 中 断 将 对 国家 的 政治 、 经 济 、 社 会 生活 产生 重大 影响 
的 系统 ; 短 时 间 中 断 将 造成 金融 领域 系统 性 风险 的 系统 ; 短 时 间 中 断 将 产生 重大 经 济 损失 的 系统 ) ， 灾 难 恢复 最 低 要 求 参考 指标 
为 : RTO 一 一 数 分 钟 至 2 天 ; RPO 一 一 0 至 30 分 钟 ， 最 低 的 灾难 恢复 等 级 为 5 级 。 对 第 二 类 信息 系统 (业务 功能 在 短 时 间 内 具有 
一 定 可 替代 方式 的 系统 ;单位 对 系统 短 时 间 中 断 的 损失 有 一 定 容 妨 度 的 系统 ; 用 户 对 系统 短 时 间 中 断 具 有 一 定 容 忍 度 的 系统 ) ， 
灾难 恢复 最 低 要 求 参 考 指标 为 RTO 一 一 12 小 时 至 24 小 时 ; RPO 一 一 数 小 时 至 1 天 ; 最 低 的 灾难 恢复 等 级 为 3 级 。 对 第 三 类 信息 系 
统 (业务 功能 容许 一 段 时 间 的 中 断 系统 ;业务 功能 在 一 段 时 间 内 具有 可 替代 方式 的 系统 ) ， 灾 难 恢 复 最 低 要 求 参 考 指标 为 RTO 
一 一 24 小 时 以 上 ; RPO 一 一 1 天 至 7 天 ; 最 低 的 灾难 恢复 等 级 为 2 级 。 





以 业务 部 门 的 需要 为 依据 ， 灾 难 恢复 需求 分 析 主 要 包含 以 下 几 个 部 分 : 业务 产品 恢复 优先 级 的 判定 ， 信 息 系 统 恢复 优先 级 的 
判定 ， 信 息 系统 恢复 指标 的 判定 ， 信 息 系统 恢复 资源 需求 的 判定 。 


本 案例 主要 涉及 两 个 业务 部 门 : 计划 财务 处 和 银行 卡 中 心 。 首先 ， 需 要 确定 业务 产品 的 业务 天 键 度 ， 例 如 ， 业 务 天 键 度 为 高 
的 业务 产品 有 存款 业务 、 结 算 业 务 等 ; 业务 天 键 度 为 中 的 业务 产品 有 票据 业务 、 账 户 管理 等 ; 业务 关键 度 为 低 的 业务 产品 有 电话 
银行 等 。 其 次 ， 确 定 对 业务 产品 的 RTO 等 级 要 求 ， 如 RTO 为 30 分 钟 的 业务 产品 有 存款 业务 、RTO 为 2 小 时 的 有 结算 业务 、 现 金管 
理 等 、RTO 为 4 小 时 的 有 身份 证 联网 核查 等 、RTO 为 24 小 时 以 上 的 有 电话 银行 等 。 最 后 ， 要 确定 对 业务 产品 的 RPO 的 等 级 要 求 : 
RPO < 15 分 钟 的 业务 产品 有 结算 业务 等 ; RPO < 2 小 时 的 业务 产品 有 账户 管理 等 ; RPO < 24 小 时 的 业务 产品 有 电话 银行 等 。 


通过 分 析 ， 部 分 相关 业务 产品 的 关键 度 及 恢复 指标 举例 如 下 : 机 构 网 点 的 “存款 业务 ” ， 业 务 关 键 度 “ 高 ”， 可 容忍 最 大 中 
断 时 间 为 30 分 钟 ， 可 容忍 最 大 数据 丢失 时 间 小 于 15 分 钟 ; 计划 财务 处 “账户 管理 ”， 业 务 关键 度 “ 中 ” ， 可 容忍 最 大 中 断 时 间 
为 4 小 时 ， 可 容忍 最 大 数据 丢失 时 间 小 于 2 小 时 。 


另外 ， 需 要 确定 对 业务 产品 的 服务 时 间 要 求 : 服务 时 间 为 7x24 小 时 的 业务 产品 有 存款 业务 、 电 话 银行 和 结算 业务 等 ; 服务 
时 间 为 7x12 小 时 7: 00~19: 00 的 业务 产品 有 个 人 理财 业务 、 账 户 管理 等 ; 服务 时 间 为 ?x8 小 时 7: 25~17: 30 的 业务 产品 有 票 
据 业 务 等 。 


灾难 发 生 后， 业务 产品 的 恢复 优先 级 可 由 业务 的 关键 度 (高 、 中 、 低 ) 以 及 业务 产品 对 其 他 业务 产品 的 依赖 关系 (存款 业务 
必须 依赖 账户 管理 业务 ， 所 以 将 其 优先 级 从 B 调 整 至 A) 得 出 ， 从 而 得 到 需要 恢复 的 业务 产品 清单 及 对 应 优先 级 。 比 如 身份 证 联 
网 核查 业务 ， 日 常服 务 时 间 段 : 7x12 7: 00~19: 00， 业 务 关键 度 为 中 ，RTO 为 4 小 时 ，RPO 小 于 2 小 时 ， 优 先 级 为 B; 再 比如 
电话 银行 业务 ， 日 常服 务 时 间 段 : 7x24 小 时 ， 业 务 关键 度 为 低 ，RTO 为 24 小 时 以 上 ，RPO 小 于 24 小 时 ， 优 先 级 为 C。 


通过 分 析 信 息 系统 的 恢复 指标 与 业务 产品 恢复 指标 的 关系 ， 得 出 恢复 优先 级 为 A 的 信息 系统 有 银联 卡 前 置 系统 等 ，RTO 为 30 
分 钟 ，RPO 小 于 1 分 钟 ; 优先 级 为 B 的 业务 为 身份 证 联网 核查 系统 等 ，RTO 为 4 小 时 ，RPO 小 于 2 小 时 ; 优先 级 为 C 的 系统 为 电话 
银行 前 置 系统 等 ，RTO 为 12 小 时 ，RPO 小 于 8 小 时 。 


同时 ， 需 要 判定 各 应 用 系统 的 灾难 恢复 资源 需求 。 例 如 ， 要 确定 银联 卡 前 置 系统 依赖 的 主机 资源 、 存 储 资 源 和 网 络 资源 等 。 
根据 分 析 ， 确 定 资源 恢复 顺序 ， 包 括 涉及 主机 恢复 顺序 、 涉 及 外 联 单位 、 涉 及 数据 存储 的 恢复 顺序 。 


6.4.2 ”灾难 恢复 策略 制定 


灾难 恢复 系统 建设 是 一 项 周密 的 系统 工程 ， 一 个 完整 的 灾难 备份 系统 主要 由 备份 中 心 基础 环境 、|T 灾 难 备份 系统 、 灾 难 恢复 
计划 及 完善 的 运营 管理 组 成 。 灾 难 备份 中 心 的 选择 应 考虑 距离 、 环 境 、 成 本 和 管理 等 因素 ， 采 用 适合 的 模式 进行 。 为 保障 数据 备 
份 系统 和 备份 数据 处 理 系 统 的 正常 工作 ， 备 份 中 心 应 有 良好 的 基础 环境 。IT 灾 难 备份 系统 一 般 由 数据 备份 系统 和 数据 处 理 系统 两 
定期 测试 和 演习 以 及 审核 ， 以 保持 其 持续 可 用 。 为 保证 灾 备 系统 7x24 小 时 的 系统 可 


部 分 构成 。 灾 难 恢复 计划 需要 日 常 的 维护 、 
需要 制定 规范 的 管理 制度 并 执行 ， 例 如 ， 安 全 管理 、 运 维 管 理 、 恢 复 管理 和 变更 管理 


靠 性 ， 使 灾 备 系统 能 与 生产 系统 保持 一 致 ， 
竺 。 运 营 服 务 的 好 坏 是 灾 备 系统 能 否 成 功 的 关键 ， 需 要 有 相应 的 运营 人 员 、 运 营 手 段 和 运营 流程 。 


企业 构建 业务 连续 性 管理 体系 ， 不 仅 着 有 眼 于 IT 系统 的 备份 与 


和 


业务 连续 性 规划 是 实现 业务 连续 性 管理 的 基础 环节 和 重要 保障 。 
恢复 ， 更 重要 的 是 确定 或 构建 庶 于 企业 生命 周期 的 业务 连续 性 管理 目标 、 策 略 、 制 度 、 组 织 和 资源 。 


根据 对 灾难 恢复 体系 建设 和 业务 连续 性 管理 体系 建设 的 理论 和 实际 经 验 ， 结 合 该 金融 信息 系统 的 具体 特点 ， 建 议 该 机 构 采取 
从 局 部 到 整体 ， 从 技术 到 管理 分 步 建设 ， 逐 渐 稳固 的 建设 适合 其 业务 特点 和 未 来 发 展 需求 的 业务 连续 性 管理 体系 。 根 据 企业 不 同 
的 发 展 阶段 的 阶段 性 目标 ， 建 议 对 灾难 恢复 体系 分 阶段 逐步 实现 : 首先 建立 关键 信息 系统 灾难 恢复 体系 ;其 次 建立 关键 业务 灾难 


恢复 体系 和 完整 的 信息 系统 灾难 恢复 体系 ;再 次 建立 风险 管理 体系 ; 最 后 完善 和 提高 整个 业务 连续 性 管理 体系 。 


根据 前 述 分 析 ， 该 金融 信息 系统 灾难 恢复 的 业务 及 其 恢复 指标 和 优先 级 如 表 6-6 所 示 。 部 分 信息 系统 的 灾难 恢复 指标 和 优先 
级 ， 如 表 6-7 所 示 。 


优 先 级 


存款 业务 30 分 钟 小 于 15 分 钟 A (必须 考虑 热 备份 站 点 ， 实 时 复制 ) 
票据 业务 4 小 时 小 于 2 小 时 B (必须 考虑 热 备份 站 点 ， 在 线 数据 复制 |) 
24 小 时 以 上 小 于 24 小 时 C (可 以 考虑 紧急 供 货 ， 磁带 异 地 保存 ) 


表 6-7 ”部 分 信息 系统 灾难 恢复 指标 和 优先 级 


豆 人 必 全 


| RO | Reo 全 先生 
银联 卡 前 置 系统 30 分 钟 A (必须 考虑 热 备份 站 点 ， 实 时 复制 ) 


身份 证 联网 核查 系统 4 小 时 一 2 小 时 B (必须 考虑 热 备 份 站 点 ， 在 线 数 据 复制 ) 
电话 银行 前 置 系统 24 小 时 以 上 一 24 小 时 C (可 以 考虑 紧急 供 货 ， 磁 带 异 地 保存 ) 








思考 


岗 


1. 为 什么 要 对 信息 安全 事件 进行 分 类 分 级 管理 ”通常 将 信息 安全 事件 分 为 哪些 类 别 和 级 别 ? 


2. 信 息 安全 应 急 响 应 工作 包括 哪些 过 程 ? 每 一 过 程 应 包括 哪些 关键 活动 ? 
3. 基 于 具有 的 功能 、 备 战 性 程度 ， 灾 难 备 份 中 心 分 为 哪些 类 型 ? 各 有 什么 特点 ? 
4. 灾 难 恢复 管理 通常 包括 哪些 过 程 ? 每 一 过 程 应 包括 哪些 关键 活动 ? 


5. 依 据 有 具备 的 灾难 恢复 资源 程度 ， 灾 难 恢复 能 力 分 为 哪些 级 别 ? 每 个 能 力 级 别 对 各 类 灾难 恢复 资源 的 要 求 如 何 ? 结合 自己 组 
织 的 实际 业务 思考 一 下 : 自己 组 织 当 前 的 灾难 恢复 能 力 达 到 了 哪个 级 别 ? 这 一 级 别 的 灾难 恢复 能 力 是 否 能 满足 组 织 当前 的 业务 需 
求 ? 


第 / 章 ”信息 内 容 安全 


阅读 提示 “信息 内 容 安 全 是 信息 安全 的 重要 组 成 部 分 ， 它 属于 硬件 安全 、 运 行 安全 和 数据 安全 之 上 的 高 层 应 用 安全 范 晨 。 网 
络 与 情 是 互联 网 信息 内 容 安全 的 焦点 问题 ， 网 络 空间 与 论 生 态 建设 是 网 络 空间 治理 的 重要 内 容 。 本 章 针 对 网 络 与 情 在 信息 内 容 安 
全 方面 的 突出 性 、 集 中 性 体现 ， 介 绍 网 络 与 情 的 相关 概念 、 当 前 我 国 网 络 与 情态 势 以 及 网 络 与 情 工 作 的 基本 方法 ， 使 读者 了 解 信 
息 内 容 安全 的 重要 性 ， 并 掌握 网 络 与 情 工作 相关 的 知识 和 方法 。 





7.1 信息 内 容 安全 基础 


随 着 信息 技术 的 发 展 和 信息 安全 问题 的 不 断 深化 与 延伸 ， 信 息 内 容 安全 正 引发 越 来 越 多 的 关注 。 解 决 好 信息 内 容 安全 的 问 
题 ， 有 助 于 加 强 网 络 空间 治理 ， 促 进 社会 稳定 。 


7.1.1 信息 内 容 安全 的 内 涵 与 界定 


信息 内 容 安全 也 称 为 “基于 内 容 的 信息 安全 ”或 “内 容 安 全 ”， 是 信息 安全 的 重要 组 成 部 分 ， 它 属于 硬件 安全 、 运 行 安 全 和 
数据 安全 之 上 的 高 层 应 用 安全 范畴 。 信 息 内 容 安全 强调 的 是 网 络 上 所 传输 信息 的 内 容 安全 问题 ， 它 属于 一 门 交 叉 学 科 ， 不 仅 涉及 
计算 机 科学 、 统 计 学 、 机 器 学 、 数 据 挖 掘 和 信息 论 ， 而 且 与 新 闻 学 、 传 播 学 、 法 学 ， 乃 至 心理 学 等 学 科 相 关 。 关 于 信息 内 容 安全 
的 内 涵 和 界定 ， 以 下 给 出 了 一 些 定义 ， 它 们 的 关注 点 可 能 各 有 侧重 ， 但 始终 以 “内 容 ” 和 “安全 ”两 个 关键 元 素 为 核心 。 





* 信息 内 容 安全 是 研究 如 何 利 用 计算 机 从 包含 海量 信息 且 迅 速 变化 的 网 络 中 ， 对 与 特定 题 相 关 信 息 进 行 自动 获取 、 识 
别 和 分 析 的 技术 。 


: 信息 内 容 安全 是 信息 安全 和 基于 内 容 (文本 、 图 像 和 视 音 频 等 ) 理解 的 计算 技术 的 交叉 方向 ， 是 信息 安全 在 政治 、 法 律 和 
道外 首 德 层 层次 上 的 要 求 。 


: 信息 内 容 安 全 是 指 网 络 上 信息 内 容 的 安全 。 它 侧重 于 保护 信息 的 保密 性 、 真 实 性 和 完整 性 。 避 免 攻 击 者 利用 系统 的 安全 漏 
洞 进 行窃 听 、 冒 充 和 诈骗 等 有 损 于 合法 用 户 的 行为 ， 其 本 质 是 保护 用 户 的 利益 和 隐私 。 


周 学 广 在 《信息 内 容 安 全 》 一 书 中 ， 将 信息 内 容 安全 细 分 为 若干 领域 ， 并 在 每 个 领域 内 分 别 定义 了 相对 应 的 内 涵 。 例 如 ,在 
政治 方面 ， 主 要 是 防止 来 自 国内 、 外 反动 势力 的 攻击 、 诬 陷 以 及 西方 的 和 平 演变 阴谋 ， 维 护 社会 稳定 ; 在 安全 方面 ， 主 要 是 防止 
国家 、 军 队 和 企业 机 密 信 息 被 窃取 、 泄 露 和 流失 ; 在 健康 方面 ， 主 要 是 在 传播 过 程 中 剔除 色情 、 淫 秽 和 暴力 内 容 ; 在 隐私 方面 ， 
主要 是 防止 个 人 隐私 被 盗 取 、 倒 卖 、 滥 用 和 扩散 ; 在 知识 产权 方面 ， 主 要 是 防止 知识 产权 和 数字 化 知识 产权 被 剩 穿 、 盗 用 。 


根据 GB/Z20986 一 2007《 中 华人 民 共 和 国 国家 标准 信息 安全 事件 分 类 分 级 指南 》， 信 息 内 容 安全 事件 主要 是 指 利用 网 络 发 
布 、 传 播 危害 国家 安全 、 社 会 稳定 和 公共 利益 的 内 容 的 安全 事件 ， 包 括 : 违反 宪法 和 法 律 、 行 政法 规 的 信息 安全 事件 ; 针对 社会 
事件 进行 讨论 、 评 论 形成 网 上 敏感 的 舆论 热点 ， 出 现 一 定 规模 炒作 的 信息 安全 事件 ; 组 织 串 联 、 煽 动 集会 游行 的 信息 安全 事件 ; 
其 他 信息 内 容 安全 事件 。《 国 家 网 络 与 信息 安全 事件 应 急 预 案 》 也 将 信息 内 容 安全 事件 列 为 与 有 害 程 序 事件 、 网 络 攻击 事件 等 并 
列 的 7 类 事件 中 的 一 类 。 


7.1.2 “信息 内 容 安全 与 网 络 与 情 


互联 网 既是 信息 内 容 的 最 大 载体 ， 也 是 思想 文化 信息 的 集散 地 和 社会 舆论 的 放大 器 。 多 种 思想 和 观点 在 网 络 上 长 期 共存 、 激 
荡 碰 撞 ， 影 响 着 网 民 的 思想 和 心态 。 在 一 些 突 发 公共 事件 中 ， 互 联网 正 越 来 越 多 地 成 为 第 一 信 源 ， 网 络 传播 内 容 在 事件 的 发 酵 和 
应 对 中 也 发 挥 着 越 来 越 大 的 影响 ， 并 屡 展 以 “内 容 威胁 ”的 形式 对 社会 公共 安全 构成 威胁 。 从 网 络 谣言 、 群 体 事件 到 社会 动荡 ， 
从 文化 传播 、 政 治 渗透 到 网 络 干预 ， 信 息 内 容 安全 问题 正 逐 步 向 复杂 的 社会 管理 问题 ， 乃 至 涉及 国家 与 国际 安全 的 综合 性 问题 演 
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可 见 ， 信 息 内 容 安全 的 管理 已 成 为 一 项 重要 的 信息 安全 研究 课题 ， 也 是 社会 治理 的 重要 工具 和 手段 。 网 络 舆 情 作 为 信息 内 容 
安全 的 焦点 问题 也 引起 高 度 重 视 ， 网 络 熏 论 生态 建设 已 成 为 网 络 空 间 治理 的 重要 内 容 。 因 此 ， 把 握 信 息 内 容 安全 态势 ， 有 必要 深 
入 开展 网 络 重 情 的 监测 、 分 析 和 应 对 工作 。 做 好 网 络 熏 情 相关 工作 ， 不 但 可 以 及 早 发 现 和 应 对 内 容 安全 威胁 ， 更 有 助 于 发 挥 网 络 
的 平台 属性 ， 进 一 步 弘扬 社会 正气 、 通 达 社 情 民意 、 引 导 社 会 热点 、 疏 导 公 众 情绪 、 维 护 公共 利益 ， 为 社会 稳定 提供 保障 。 本 章 
以 下 内 容 主要 针对 网 络 与 情 在 信息 内 容 安全 方面 的 突出 性 、 集 中 性 体现 ， 对 网 络 熏 情 的 相关 政策 、 当 前 网 络 态 势 ， 以 及 网 络 熏 情 
管理 的 基本 方法 进行 介绍 。 


7.1.3 网络 舆情 基本 概念 


了 解 网 络 婴 情 ， 首 先 需 要 对 与 情 和 奥 论 、 网 络 和 与 情 和 网 络 渎 论 等 基本 概念 有 所 了 解 。 奥 情 是 “ 奥 论 情况 ”的 简称 ， 是 指 在 一 
定 的 社会 空间 内 ， 围 绕 中 介 性 社会 事件 的 发 生 、 发 展 和 变化 ， 作 为 主体 的 民众 对 作为 客体 的 社会 管理 者 及 其 政治 取向 产生 和 持 有 
的 社会 政治 态度 ， 是 较 多 群众 天 于 社会 中 各 种 现象 、 问 题 所 表达 的 信念 、 态 度 、 意 见 和 情绪 等 表现 的 总 和 。 僵 情思 想 在 我 国 漫长 
的 历史 过 程 中 不 断 地 发 展 和 创新 。 执 政 者 了 解 舆 情 ， 了 解 民意 ， 就 需要 采取 一 定 的 方式 和 措施 收集 僵 情 。 从 尧 碗 时 期 已 有 “ 谏 
鼓 ”， 随 后 又 发 展 出 “ 朝 议 ”、“ 吏 民 上 书 ” 以 及 “民谣 ”等 收集 熏 情 信息 的 形式 。 而 依据 现代 与 情理 论 ， 从 严格 意义 上 讲 ， 和 与 
情 本 身 已 不 是 对 民意 规律 的 简单 概括 ， 而 是 对 “民意 及 其 作用 于 执政 者 及 其 政治 取向 规律 ”的 一 种 描述 。 恤 论 是 社会 中 相当 数量 
的 人 对 于 一 个 特定 话题 所 表达 的 个 人 观点 、 态 度 和 信念 的 集合 体 。 恤 论 与 舆情 既 有 联系 又 有 区 别 。 屠 论 是 人 们 的 认 知 、 态 度 、 情 
感 和 行为 倾向 的 集聚 表现 ， 是 多 数 人 形成 的 一 致意 见 ， 是 单 种 意见 的 集合 ， 即 需要 持 有 某 种 认 知 、 态 度 、 情 感 和 行为 倾向 的 人 数 
达到 一 定 的 量 ， 否 则 不 能 认为 是 一 种 熏 论 。 和 与 情 是 人 们 的 认 知 、 态 度 、 情 感 和 行为 倾向 的 最 初 表露 ， 可 以 是 一 种 零散 的 ， 非 体系 
化 的 东西 ， 也 不 需要 得 到 多 数 人 认同 ， 是 多 种 不 同意 见 的 简单 集合 ， 这 也 是 最 容易 将 二 者 混淆 的 地 方 。 


网 络 与 情 是 以 网 络 为 载体 ， 以 事件 为 核心 ， 是 广大 网 民情 感 、 态 度 、 意 见 和 观点 的 表达 ， 传 播 与 互动 ， 以 及 后 续 影 响 力 的 集 
合 ， 是 社会 恒 情 在 互联 网 空间 的 映射 。 网 络 与 情 往往 带 有 广大 网 民 的 主观 性 ， 示 经 媒体 验证 和 包装 ， 直 接 通 过 多 种 形式 发 布 于 互 
联网 上 。 网 络 与 论 就 是 在 互联 网 上 传播 的 公众 对 某 一 焦点 所 表现 出 的 有 一 定 影响 力 的 、 带 倾向 性 的 意见 或 言论 。 互 联网 与 传统 媒 
体 相 比 ， 具 有 明显 的 优势 ， 例 如 信息 的 海量 、 专 门 性 和 快捷 性 ， 信 息 传播 的 同时 性 、 个 人 化 和 交互 性 ， 声 音 、 画 面 、 文 字 的 一 体 
性 等 ， 网 络 熏 论 又 具有 与 广播 、 报 刊 、 电 视 等 与 论 不 同 的 特征 ， 包 括 丰 富 性 、 复 杂 性 、 多 元 性 、 冲 突 性 ， 以 及 难 控 性 。 网 络 与 论 
的 难 控 性 是 网 络 熏 论 特性 中 最 重要 的 一 个 特征 ， 其 他 特征 都 是 由 难 控 性 派生 出 来 的 。 


传统 的 社会 奥 情 存在 于 民间 ， 存 在 于 大 众 的 思想 观念 和 日 常 街头 车 尾 的 议论 之 中 。 社 会 熏 情 的 获取 只 能 通过 明察暗访 、 民 意 
调查 等 方式 进行 ， 获 取 效 率 低下 ， 样 本 少 而 且 容 易 流 于 偏颇 ， 耗 费 巨大 。 随 着 互联 网 的 发 展 ， 大 众 往往 以 信息 化 的 方式 发 表 各 自 
看 法 ， 网 络 擂 情 可 以 采用 网 络 自动 抓 取 等 技术 手段 获取 ， 效 率 高 而 且 信 息 保 真 ， 覆 盖 面 全 。 当 前 网 络 导 论 平台 主要 以 微 媒 体 为 
主 ， 其 信息 传播 的 便利 性 、 及 时 性 和 交互 性 等 新 媒体 特征 对 社会 舆论 的 影响 力 越 来 越 大 ， 网 络 舆 论 逐 渐 在 社会 舆论 中 占据 重要 席 


位 。 


7.2 我国 网 络 稳 情 状况 


7.2.1 网络 舆情 相关 政策 


我 国 高 度 重 视 网 络 空间 内 容 管 理 和 网 上 思想 文化 建设 。 党 的 十 八大 以 后 ， 新 一 届 政 府 将 网 络 安全 提升 至 国家 战略 高 度 ， 网 络 
与 情 工作 也 得 到 了 前 所 未 有 的 关注 和 重视 。 关 于 网 络 擂 情 ， 新 一 代 领导 人 提出 了 “阵地 意识 ”， 强 调 创新 工作 方法 ， 把 握 好 正面 
宣传 和 网 上 恤 论 引导 的 “时 、 度 、 效 ”。 


(1) “8.19” 全 国 宣传 思想 工作 会 议 


2013 年 8 月 19 日 ， 习 近 平 同志 在 全 国 宣传 思想 工作 会 议 上 指出 ， 要 根据 形势 发 展 需要 把 网 上 铀 论 工作 作为 宣传 思想 工作 的 重 
中 之 重 来 抓 。 他 强调 ， 宣 传 思想 阵地 ， 我 们 不 去 占领 ， 人 家 就 会 去 占领 。 网 络 的 发 展 深 刻 改变 着 与 论 格 局 、 拓 展 着 宣传 思想 阵 
地 。 


习近平 同志 表示 ， 当 年 毛泽东 同志 说 “共产 党 人 好 比 种子 ， 人 民 好 比 土地 ”。 今天， 网 络 已 经 成 为 社会 动员 的 沃土 ， 成 为 知 
民情 、 聚 民智 、 汇 民意 的 沃土 ， 那 么 共产 党 人 这 颗 种 子 ， 就 应 该 在 网 络 这 块 沃 土 上 生根 、 开 人 花 、 结 果 。 不 牢 牢 占领 网 络 这 一 阵 
地 ， 就 无 法 夺 牢 掌握 网 上 熏 论 工作 的 领导 权 、 管 理 权 和 话语 权 ， 就 可 能 犯 无 可 挽回 的 历史 性 错误 。 他 还 强调 ， 正 面 宣传 关键 是 要 
提高 质量 和 水 平 ， 把 握 好 时 、 度 、 效 ， 增 强 吸 引力 和 感染 力 ， 让 群众 爱 听 、 爱 看 、 产 生 共 鸣 。 


(2) 中 央 网 络 安全 和 信息 化 领导 小 组 会 议 


2014 年 2 月 27 日 ， 中 央 网 络 安全 和 信息 化 领导 小 组 第 一 次 会 议 上 ， 习 近 平 同志 指出 ， 网 络 安全 和 信息 化 对 一 个 国家 很 多 领域 
都 是 牵 一 发 而 动 全 身 的 ， 要 认 清 我 们 面临 的 形势 和 任务 ， 充 分 认识 做 好 工作 的 重要 性 和 紧迫 性 ， 因 势 而 吝 、 应 势 而 动 、 顺 势 而 
为 。 他 强调 ， 做 好 网 上 鲜 论 工作 是 一 项 长 期 任务 ， 要 创新 改进 网 上 宣传 ， 运 用 网 络 传播 规律 ， 弘 扬 主旋律 ， 激 发 正 能 量 ， 大 力 培 
育 和 践 行 社会 主义 核心 价值 观 ， 把 握 好 网 上 午 论 引导 的 时 、 度 、 效 ,使 网 络 空间 清 朗 起 来 。 


习近平 同志 指出 ， 没 有 网 络 安全 就 没有 国家 安全 ， 没 有 信息 化 就 没有 现代 化 。 建 设 网 络 强国 ， 要 有 自己 的 技术 ， 有 过 硬 的 技 
术 ; 要 有 丰富 全 面 的 信息 服务 ， 繁 荣 发 展 的 网 络 文化 ; 要 有 良好 的 信息 基础 设施 ， 形 成 实力 雄厚 的 信息 经 济 ; 要 有 高 素质 的 网 络 
安全 和 信息 化 人 才 队伍 ; 要 积极 开展 双边 、 多 边 的 互联 网 国际 交流 合作 。 要 抓紧 制定 立法 规划 ， 完 善 互联 网 信息 内 容 管理 、 关 键 


言 息 基础 设施 保护 等 法 律 、 法 规 ， 依 法 治理 网 络 空间 ， 维 护 公 民 合 法 权益 。 
(3) 中 国 网 络 治理 主张 


2014 年 7 月 16 日 ， 习 近 平 同志 在 巴西 国会 发 表 《 弘 扬 传 统 友 好 共 谱 合作 新 篇 》 的 演讲 ， 提 及 互联 网 治理 问题 ， 这 也 是 中 国 最 
高 领导 人 首次 在 国际 场合 提出 中 国 对 于 互联 网 治理 的 主张 。 他 在 讲话 中 指出 ， 虽 然 互 联网 具有 高 度 全 球 化 的 特征 ， 但 每 一 个 国家 
在 信息 领域 的 主权 权益 都 不 应 受到 侵犯 ， 互 联网 技术 再 发 展 也 不 能 侵犯 他 国 的 信息 主权 。 在 信息 领域 没有 双重 标准 ， 各 国都 有 权 
维护 自己 的 信息 安全 ， 不 能 一 个 国家 安全 而 其 他 国家 不 安全 ， 一 部 分 国家 安全 而 另 一 部 分 国家 不 安全 ， 更 不 能 牺牲 他 国安 全 谋求 
自身 所 谓 绝对 安全 。 国 际 社会 要 本 着 相互 尊重 和 相互 信任 的 原则 ， 通 过 积极 有 效 的 国际 合作 ， 共 同 构建 和 平 、 安 全 、 开 放 、 合 作 
的 网 络 空间 ， 建 立 多 边 、 民 主 、 透 明 的 国际 互联 网 治理 体系 。 


(4) 网 络 空间 治理 七 点 共识 


2014 年 6 月 23 日 互联 网 名 称 和 数字 地 址 分 配 机 构 (lnternet Corporation for Assigned Names and Numbers，ICANN) 
第 50 次 大 会 上 ， 中 央 网 络 安全 和 信息 化 领导 小 组 办 公 室 主任 鲁 炜 呼吁 国际 网 络 空间 治理 形成 七 点 共识 : 一 是 互联 网 应 该 造福 全 
人 类 ， 给 世界 人 民 带 来 福 社 ， 而 不 是 危害 ， 二 是 互联 网 应 该 给 各 国 带 来 和 平 与 安全 ， 而 不 能 成 为 一 个 国家 攻击 他 国 的 “利器 ”; 
三 是 互联 网 应 该 更 多 服务 发 展 中 国家 的 利益 ， 因 为 他 们 更 需要 互联 网 带 来 的 机 遇 ;， 四 是 互联 网 应 该 注重 保护 公民 合法 权益 ， 而 不 
能 成 为 违法 犯罪 活动 的 “温床 ” ， 更 不 能 成 为 实施 恐怖 主义 活动 的 工具 ; 五 是 互联 网 应 该 文明 诚信 ， 而 不 能 充斥 谣言 和 欺诈 ， 六 
是 互联 网 应 该 传递 正 能 量 ， 继 承 和 弘扬 人 类 优秀 文化 ; 七 是 互联 网 应 该 有 助 于 未 成 年 人 健康 成 长 ， 因 为 这 关系 到 人 类 的 未 来 。 


7.2 我国 网 络 稳 情 状况 


7.2.1 ”网络 舆情 相关 政策 


我 国 高 度 重 视 网 络 空间 内 容 管 理 和 网 上 思想 文化 建设 。 党 的 十 八大 以 后 ， 新 一 届 政 府 将 网 络 安全 提升 至 国家 战略 高 度 ， 网 络 
与 情 工 作 也 得 到 了 前 所 未 有 的 关注 和 重视 。 关 于 网 络 重 情 ， 新 一 代 领 导 人 提出 了 “阵地 意识 ”， 强 调 创 新 工作 方法 ， 把 握 好 正面 
宣传 和 网 上 恤 论 引导 的 “时 、 度 、 效 ”。 


(1) “8.19” 全 国 宣 传 思想 工作 会 议 
2013 年 8 月 19 日 ， 习 近 平 同志 在 全 国 宣传 思想 工作 会 议 上 指出 ， 要 根据 形势 发 展 需要 把 网 上 鳃 论 工作 作为 宣传 思想 工作 的 重 


中 之 重 来 抓 。 他 强调 ， 宣 传 思想 阵地 ， 我 们 不 去 占领 ， 人 家 就 会 去 占领 。 网 络 的 发 展 深 刻 改变 着 与 论 格 局 、 拓 展 着 宣传 思想 阵 
地 。 


习近平 同志 表示 ， 当 年 毛泽东 同志 说 “共产 党 人 好 比 种子 ， 人 民 好 比 土地 ”。 今天， 网 络 已 经 成 为 社会 动员 的 沃土 ， 成 为 知 
民情 、 聚 民智 、 汇 民意 的 沃土 ， 那 么 共产 党 人 这 颗 种 子 ， 就 应 该 在 网 络 这 块 沃 土 上 生根 、 开 人 花 、 结 果 。 不 牢 牢 占领 网 络 这 一 阵 
地 ， 就 无 法 夺 牢 掌握 网 上 熏 论 工作 的 领导 权 、 管 理 权 和 话语 权 ， 就 可 能 犯 无 可 挽回 的 历史 性 错误 。 他 还 强调 ， 正 面 宣传 关键 是 要 
提高 质量 和 水 平 ， 把 握 好 时 、 度 、 效 ， 增 强 吸 引力 和 感染 力 ， 让 群众 爱 听 、 爱 看 、 产 生 共 鸣 。 


(2) 中 央 网 络 安全 和 信息 化 领导 小 组 会 议 


2014 年 2 月 27 日 ， 中 央 网 络 安全 和 信息 化 领导 小 组 第 一 次 会 议 上 ， 习 近 平 同志 指出 ， 网 络 安全 和 信息 化 对 一 个 国家 很 多 领域 
都 是 牵 一 发 而 动 全 身 的 ， 要 认 清 我 们 面临 的 形势 和 任务 ， 充 分 认识 做 好 工作 的 重要 性 和 紧迫 性 ， 因 势 而 谋 、 应 势 而 动 、 顺 势 而 


为 。 他 强调 ， 做 好 网 上 与 论 工作 是 一 项 长 期 任务 ， 要 创新 改进 网 上 宣传 ， 运 用 网 络 传播 规律 ， 弘 扬 主 旋律 ， 激 发 正 能 量 ， 大 力 培 
育 和 践 行 社会 主义 核心 价值 观 ， 把 握 好 网 上 午 论 引导 的 时 、 度 、 效 ,使 网 络 空间 清 朗 起 来 。 


习近平 同志 指出 ， 没 有 网 络 安全 就 没有 国家 安全 ， 没 有 信息 化 就 没有 现代 化 。 建 设 网 络 强国 ， 要 有 自己 的 技术 ， 有 过 硬 的 技 
术 ; 要 有 丰富 全 面 的 信息 服务 ， 繁 荣 发 展 的 网 络 文化 ; 要 有 良好 的 信息 基础 设施 ， 形 成 实力 雄厚 的 信息 经 济 ; 要 有 高 素质 的 网 络 
安全 和 信息 化 人 才 队 伍 ; 要 积极 开展 双边 、 多 边 的 互联 网 国际 交流 合作 。 要 抓紧 制定 立法 规划 ， 完 善 互 联网 信息 内 容 管理 、 关 键 
言 息 基 础 设施 保护 等 法 律 、 法 规 ， 依 法 治理 网 络 空间 ， 维 护 公 民 合 法 权益 。 


(3) 中 国 网 络 治理 主张 


2014 年 7 月 16 日 ， 习 近 平 同志 在 巴西 国会 发 表 《 弘 扬 传 统 友 好 共 谱 合作 新 篇 》 的 演讲 ， 提 及 互联 网 治理 问题 ， 这 也 是 中 国 最 
高 领导 人 首次 在 国际 场合 提出 中 国 对 于 互联 网 治理 的 主张 。 他 在 讲话 中 指出 ， 虽 然 互 联网 具有 高 度 全 球 化 的 特征 ， 但 每 一 个 国家 
在 信息 领域 的 主权 权益 都 不 应 受到 侵犯 ， 互 联网 技术 再 发 展 也 不 能 侵犯 他 国 的 信息 主权 。 在 信息 领域 没有 双重 标准 ， 各 国都 有 权 
维护 自己 的 信息 安全 ， 不 能 一 个 国家 安全 而 其 他 国家 不 安全 ， 一 部 分 国家 安全 而 另 一 部 分 国家 不 安全 ， 更 不 能 牺牲 他 国安 全 谋求 
自身 所 谓 绝对 安全 。 国 际 社会 要 本 着 相互 尊重 和 相互 信任 的 原则 ， 通 过 积极 有 效 的 国际 合作 ， 共 同 构建 和 平 、 安 全 、 开 放 、 合 作 
的 网 络 空间 ， 建 立 多 边 、 民 主 、 透 明 的 国际 互联 网 治理 体系 。 


(4) 网 络 空间 治理 七 点 共识 


2014 年 6 月 23 日 互联 网 名 称 和 数字 地 址 分 配 机 构 (Internet Corporation for Assigned Names and Numbers，ICANN) 
第 50 次 大 会 上 ， 中 央 网 络 安全 和 信息 化 领导 小 组 办 公 室 主任 鲁 炜 呼吁 国际 网 络 空间 治理 形成 七 点 共识 : 一 是 互联 网 应 该 造福 全 
人 类 ， 给 世界 人 民 带 来 福 社 ， 而 不 是 危害 ; 二 是 互联 网 应 该 给 各 国 带 来 和 平 与 安全 ， 而 不 能 成 为 一 个 国家 攻击 他 国 的 “利器 ” ; 
三 是 互联 网 应 该 更 多 服务 发 展 中 国家 的 利益 ， 因 为 他 们 更 需要 互联 网 带 来 的 机 遇 ; 四 是 互联 网 应 该 注重 保护 公民 合法 权益 ， 而 不 
能 成 为 违法 犯罪 活动 的 “温床 ”， 更 不 能 成 为 实施 恐怖 主义 活动 的 工具 ; 五 是 互联 网 应 该 文明 诚信 ， 而 不 能 充斥 译 言 和 欺诈 ;六 
是 互联 网 应 该 传递 正 能 量 ， 继 承 和 弘扬 人 类 优秀 文化 ; 七 是 互联 网 应 该 有 助 于 未 成 年 人 健康 成 长 ， 因 为 这 关系 到 人 类 的 未 来 。 


7.2.2 ”我 国 网 络 和 与 情 生态 


1.0 为 主 ， 如 新 闻 门 户 等 ; 二 是 2005 年 后 ， 互 联网 发 展 进 入 Web 2.0 时 期 ， 其 交互 作用 把 网 络 婴 论 影响 力 进一步 放大 ， 互 联网 应 
用 主要 包括 博客 、 论 坛 和 社交 网 站 等 。 互 联网 不 仅 带 动 了 国家 经 济 发 展 ， 同 时 也 扩大 了 网 络 和 与 论 的 影响 力 。 网 络 给 民众 提供 了 表 
达 利 益 诉求 的 渠道 ,无 疑 给 了 人 们 更 大 的 话语 权 ， 极 大 地 拓展 了 网 络 公共 空间 。 


1. 整 体 发 展 特点 


近年 来 ， 我 国 互联 网 和 信息 化 工作 取得 了 显著 发 展 ， 网 络 走 入 干 家 万 户 ， 我 国 已 经 成 为 新 媒体 应 用 第 一 大 国 和 网 民 数 量 第 一 
大 国 。 网 络 发 展 已 经 促使 人 们 的 信息 传递 、 诉 求 表达 、 社 会 交往 和 思维 习惯 等 都 发 生 了 深刻 变化 ， 我 国 的 网 络 和 网 民 ， 构 成 了 全 
球 最 庞大 、 最 复杂 和 最 喧 串 的 与 论 场 。 在 这 样 的 环境 下 ， 我 国 的 网 络 和 与 情态 势 呈现 出 以 下 几 个 主要 特点 。 














(1) 社会 民生 类 和 与 情 比重 最 高 


当前 我 国 网 络 熏 情 热点 中 ， 占 比重 较 高 的 主要 是 社会 民生 类 、 涉 外 事件 类 、 廉 政 建设 类 和 公共 安全 类 的 话题 。“ 单 独 两 
孩 ”、“ 延 迟 退 休 年 龄 ”等 民生 热点 议题 在 网 络 上 较 容易 引起 网 友 讨论 共鸣 ， 社 会 民生 类 话题 所 占 比 例 持续 高 涨 。 涉 外 事件 恤 情 
较 多 ， 一 方面 在 于 南海 争端 和 美国 “棱镜 门 ”等 事件 的 影响 ; 另 一 方面 ， 也 与 我 国 国际 地 位 提升 、 新 一 届 领 导 人 外 交 动 向 受到 空 





前 关注 有 关 。 针 对 各 级 官员 尤其 是 高 级 别 官员 贪 腐 现象 ， 中 央 表 示 出 “老虎 苑 蝇 一 起 打 ” 的 决心 ， 频 频 重 拳 出 击 ， 使 得 廉政 建设 
类 话题 持续 引起 注意 。 而 近年 来 国人 对 环境 、 食 品 安全 意识 的 提升 ， 以 及 2013 年 的 多 起 火灾 、 爆 炸 事故 和 2014 年 的 数 起 “ 暴 
丽 ” 事 件 ， 使 得 网 民 对 公共 安全 领域 话题 异常 天 注 。 


(2) 经 济 发 展 较 好 地 区 与 情 多 发 


整体 而 言 ， 近 年 来 与 情事 件数 量 与 地 域 分 布 也 存在 明显 的 对 应 关系 。 第 一 ， 东 部 地 区 普遍 高 于 西部 地 区 ， 这 与 互联 网 的 普及 
程度 存在 一 定 的 关系 。 第 二 ， 北 京 、 上 海 和 广东 等 经 济 发 这、 人 口 众多 的 地 区 是 与 情事 件 高 发 区 ， 与 其 政治 、 经 济 地 位 有 很 大 关 
系 。 北 京 由 于 群众 上 访 事件 频 发 ， 也 属 僵 情事 件 多 发 地 。 第 三 ， 涉 及 中 国 香港 地 区 的 熏 情 事件 数量 所 占 比例 提升 较 快 ， 这 与 香港 
与 内 地 融合 进程 加 快 有 天 。 


(3) 熏 情 传播 渠道 以 “ 双 微 ”为 主 


全 球 范 围 互 联网 的 迅速 发 展 ， 新 媒体 在 社会 各 个 领域 的 渗透 性 逐渐 增强 ， 丰 富 了 公民 自我 表达 的 方式 ， 各 种 社会 化 媒体 的 普 
及 在 熏 论 传播 中 发 挥 了 重要 作用 。 微 博 、 微 信 以 突破 十 亿 的 用 户 数量 在 展现 社会 议题 中 表现 抢眼 。 特 别 是 在 群体 性 和 突 发 性 等 重 
大 事件 发 生 时 ，“ 双 微 ” 发 挥 重 要 作用 ， 甚 至 成 为 传播 的 主力 军 。 政 法 微 博 在 大 案 、 要 案 直 播 中 提升 信息 传播 精准 度 ， 微 信 公 共 
平台 以 内 部 资源 优势 在 突 发 事件 中 成 为 重要 与 情 渠 道 ， 不 同 声音 在 媒体 上 表达 各 自 的 立场 ， 意 识 形态 领域 中 的 多 元 观点 也 在 网 上 
激烈 交锋 ， 都 成 为 了 和 与 论 传播 的 新 特点 。 


(4) 政 企 与 情 应 对 能 力 有 待 提升 


有 关 政 府 与 大 型 企业 舆情 的 热度 持续 走高 ， 重 大 事件 数量 有 增 无 减 。 相 关 政府 与 企业 面 对 网 络 上 油 涌 的 与 情 表现 出 应 对 能 
不 足 和 本 领 防 民 等 问题 。 应 对 不 力 往 往 致使 事件 余波 持续 发 酵 ， 造 成 以 公众 质疑 公 权 力 为 主要 特点 的 次 生 恤 情 发 生 ， 政 企 僵 情形 
势 极为 严峻 。 信 息 时 代 ， 网 络 不 仅 是 舆情 的 “ 传 声 简 ”， 也 是 “ 扩 音 器 ”， 一 旦 在 性 质 重大 的 公共 安全 突 发 事件 和 行业 事件 
中 “ 冷 处 理 ”， 错 失 第 一 时 间 掌 握 舆 论 话语 权 的 良机 ， 极 易 留 下 后 续 隐 患 。 政 府 与 企业 如 何 提升 科学 应 对 导 情 能 力 、 正 确 引 导 镭 
论 ， 成 为 需 持续 关注 的 重要 课题 。 


2. 主 要 舆情 问题 

网 络 新 媒体 迅速 发 展 ， 加 速 民 意 表 达 ， 畅 通 沟通 渠道 的 同时 ， 一 些 由 网 络 舆 情 引 发 的 问题 也 在 不 断 挑 战 传统 社会 管理 模式 ， 
带 来 舆论 引导 和 危机， 甚至 冲击 社会 秩序 。 此 类 突出 的 舆情 问题 应 引起 足够 重视 ， 认 真 研究 并 予以 科学 处 理 。 

(1) 网 络 谣言 


网 络 谣言 是 指 通过 网 络 介质 (例如 邮箱 、 聊 天 软件 、 社 交 网 站 和 网 络 论坛 等 ) 传播 的 没有 事实 依据 的 话语 。 网 络 谣言 的 内 容 
主要 涉及 突 发 事件 、 公 共 领 域 、 名 人 要 员 、 凑 履 传统 、 离 经 叛 道 等 内 容 。 谣 言传 播 具有 突 发 性 ， 且 流传 速度 极 快 ， 因 此 对 正常 的 
社会 秩序 易 造 成 不 良 影响 。 


网 络 谣言 产生 的 原因 主要 包括 : 第 一 ， 社 会 生活 的 不 确定 性 ， 为 谣言 的 产生 和 传播 提供 了 “温床 ”; 第 二 ， 科 学 知识 的 从 
缺 ， 为 谣言 的 传播 提供 了 可 乘 之 机 ; 第 三 ， 社 会 信息 管理 的 滞后 ， 为 谣言 的 传播 提供 了 机 会 ; 第 四 ， 一些 地 方 政 府 部 门 公 信 力 的 


各 种 形式 的 网 络 谣言 是 世界 各 国政 府 面临 的 共同 问题 。 在 打击 网 络 谣言 方面 ， 各 国 的 立场 是 一 致 的 : 严厉 打击 ， 决 不 手软 。 
如 新 加 坡 主要 是 通过 媒体 发 展 管理 局 适时 查处 谣言 ， 直 至 以 诽谤 罪 起 诉 ; 美国 有 130 项 法 律 、 法 规 规 范 网 络 传播 内 容 ; 印度 散布 
虚假 、 欺 诈 信 息 者 最 高 可 判 3 年 有 期 徒刑 ;英国 将 谣言 治理 作为 整个 社会 危机 管理 的 一 部 分 ;委内瑞拉 通讯 和 信息 部 、 国 家 电信 
委员 会 严打 借 谣言 干扰 行政 之 举 ; 韩国 通过 《电子 通讯 基本 法 》 严 惩 危害 公共 利益 的 虚假 信息 散播 者 ; 日 本 总 务 省 通过 行业 协会 


发 布防 止 谣言 传播 指令 ; 澳大利亚 由 网 络 服务 提供 商 签署 协议 ， 保 证 不 传播 谣言 。 


我 国 也 对 网 络 诬 言 整治 高 度 重视 ， 采 取 多 项 措施 应 对 。 从 2013 年 8 月 开始 ， 公 安 部 部 署 全 国 公安 机 关 集 中 开展 打击 在 网 络 上 
有 组 织 制造 、 传 播 谣 言 等 违法 犯罪 专项 行动 。“ 素 火 火 ”、“ 立 二 拆 四 ”等 多 名 长 期 造谣 生 事 之 人 均 受 到 法 律 的 惩罚 。 随 后 ， 各 


地 公安 机 关 对 网 络 谣言 制造 者 、 传 播 者 以 及 网 络 诽谤 者 、 敲 诈 勒索 者 进行 抓 捕 。9 月 ，“ 两 高 ”站 公布 了 《关于 办 理 利用 信息 网 
络 实 施 诽 谤 等 刑事 案件 适用 法 律 若干 问题 的 解释 》， 迈 出 了 我 国 网 络 法 治 化 的 重要 一 步 。 至 此 ， 整 治 行动 的 震慑 力 显现 ， 打 击 网 
络 谣言 专项 行动 赢得 了 人 民 群 众 的 高 度 评 价 ， 被 誉 为 “网 络 民心 工程 ”。 


(2) 网 络 暴 力 


网 络 暴力 是 指 网 民 在 网 络 上 的 暴力 行为 ， 是 社会 暴力 在 网 络 上 的 延伸 。 网 络 暴力 不 同 于 现实 生活 中 拳脚 相 加 、 血 肉 相 搏 的 暴 
力行 为 ， 它 是 借助 网 络 的 虚拟 空间 用 语言 文字 对 人 进行 讨伐 与 攻击 。 网 络 暴力 的 参与 者 人 数 众多 ， 其 参与 动机 与 形式 复杂 。 主 要 
的 参与 者 可 以 分 成 3 类 : 一 是 主要 事件 的 发 布 者 ， 也 就 是 最 初 在 网 上 公开 那些 有 悖 人 类 良知 或 社会 公德 事件 的 人 ; 二 是 跟 帖 者 ， 
其 中 又 分 为 真正 的 讨伐 者 、 恶 搞 的 跟风 者 和 无 意识 的 参与 者 ; 三 是 网 络 看 客 。 网 络 暴力 表现 形式 主要 包括 : 网 民 对 未 经 证 实 或 已 
经 证 实 的 网 络 事件 ， 在 网 上 发 表 具有 攻击 性 、 炉 动 性 和 侮辱 性 的 失实 言论 ， 造 成 当事人 名 誉 损害 ; 在 网 上 公开 当事人 现实 生活 中 
的 个 人 隐私 ， 侵 犯 其 隐私 权 ; 对 当事人 及 其 亲友 的 正常 生活 进行 行动 和 言论 侵扰 ， 致 使 其 人 身 权利 受 损 等 。 


导致 网 络 暴力 的 因素 有 很 多 ， 一 是 网 民 的 匿名 性 ， 网 络 上 缺乏 制度 和 道德 约束 ; 二 是 一 些 网 民 的 素质 原因 ; 三 是 社会 法 治 和 
精神 文明 建设 相对 沾 后 等 情况 。 在 这 种 社会 环境 下 ， 网 络 这 个 匿名 的 、 开 放 的 、 管 理 制度 相对 宽松 的 虚拟 空间 不 免 成 为 网 民 发 汇 
情绪 的 最 好 渠道 。 


(3) 负面 性 情 及 危机 


负面 与 情 是 指 可 能 对 经 济 社会 方方面面 造成 不 利 影响 的 ， 围 绕 中 介 性 社会 事件 的 发 生 、 发 展 和 变化 ， 民 众 对 社会 管理 者 产生 
和 持 有 的 社会 政治 态度 、 意 见 和 情绪 等 表现 的 总 和 。 


社会 化 媒体 时 代 的 负面 与 情 具 以 下 特点 : 第 一 ， 负 面 信息 来 源 多 样 化 ， 消 息 “ 绝 对 封锁 ” 越 来 越 难 ; 第 二 ， 负 面 信息 传播 速 
度 快 ， 并 且 呈 非 中 心 、 几 何 式 裂变 扩散 ， 万 其 是 当 负面 内 容 属 于 危害 很 大 、 很 具 传播 性 时 ; 第 三 ， 负 面 信息 控制 难度 大 ， 在 社会 
化 媒体 时 代 ， 负 面 传播 途径 的 控制 难度 远 远 高 于 传统 媒体 时 代 ， 并 且 无 论 是 传播 的 速度 ， 还 是 消除 负面 影响 的 难度 都 大 大 增加 
了 ; 第 四 ， 负 面 影 响 作 用 大 ， 微 博 的 直播 功能 使 某 地 方 的 局 部 危机 可 能 演变 成 为 全 网 的 群体 讨论 ， 甚 至 演变 成 为 线 下 的 群体 事 
件 。 


(4) 网 络 自由 与 秩序 


网 络 自由 是 指 在 网 络 环境 中 自由 选择 的 权利 ， 包 括 网 络 活动 自由 和 网 络 思想 自由 。 追 求 网 络 自由 是 网 民 的 权利 ， 同 时 ， 和 谐 
的 网 络 秩序 又 是 网 民 的 共同 希望 。 当 然 ， 政 府 等 相关 管理 部 门 也 有 网 络 监督 的 作用 ， 并 扮演 着 监督 者 的 角色 。 


2013 年 9 月 9 日 ， 在 伦敦 举办 的 第 五 届 中 英 互 联网 圆桌 会 议 上 ， 中 国 国家 互联 网 信息 办 公 室 主任 鲁 炜 发 表演 讲 ， 倡 导 构 建 六 
个 方面 的 秩序 : 一 是 倡导 互相 尊重 的 秩序 。 虽 然 各 国 国 情 和 文化 传统 不 同 ， 但 我 们 应 当 握 弃 偏 见 、 尊 重 差 异 、 包 容 开 放 ， 特 别 是 
要 尊重 网 络 主权 ， 不 搞 网 络 霸权 ， 不 把 本 国 的 利益 凌驾 于 他 国 的 利益 之 上 。 二 是 倡导 信息 共享 的 秩序 。 互 联网 的 本 质 属性 就 是 传 
播 信息 、 共 享 信息 。 当 今 时 代 ， 信 息 引 导 着 资本 ， 影 响 着 决策 ， 决 定 着 交易 。 目 前 ， 互 联网 上 存在 的 许多 问题 ， 都 与 信息 传播 的 
不 客观 、 不 全 面 、 不 平衡 、 不 对 称 密切 相关 。 三 是 倡导 传播 正 能 量 的 秩序 。 在 中 国 ，“ 正 能 量 ” 被 赋予 了 更 多 的 内 涵 ， 所 有 积极 
的 、 健 康 的 、 催 人 奋进 的 、 给 人 力量 的 、 充 满 希望 、 充 满 爱 心 的 人 和 事 ， 都 是 “ 正 能 量 ”。 四 是 倡导 文明 和 谐 的 秩序 。 网 络 上 还 


存在 大 量 不 良 信息 ， 特 别 是 那些 色情 、 暴 力 信息 对 未 成 年 人 的 身心 健康 造成 了 极 大 威胁 。 五 是 倡导 维护 安全 的 秩序 。 在 网 络 空间 
里 ， 牺 牧 他 国安 全 来 维护 本 国安 全 难以 为 继 ， 排 斥 他 国 诉求 去 谋取 本 国 利益 也 不 会 长 久 。 六 是 倡导 依法 治理 的 秩序 。 良 好 的 秩 


序 ， 必 须 靠 规则 来 维护 。 互 联网 是 自由 开放 的 平台 ， 人 人 都 有 麦克 风 ， 人 人 都 有 话语 权 ， 但 遵守 法 律 是 基本 准则 ， 底 线 不 可 和 逾 


[1 两 高 指 “ 最 高 人 民法 院 ” 和 “最 高 人 民 检 查 院 ”， 此 处 为 简称 。 





编者 注 


7.3 ”网 络 奥 情 管理 


网 络 重 情 的 管理 就 是 借助 奥 情 监测 平台 开展 的 网 络 重 情 收集 、 分 析 ， 并 针对 熏 情 研判 结果 进行 应 对 的 活动 。 网 络 与 情 工 作 通 
常 需要 借助 舆情 监测 系统 完成 一 部 分 数据 采集 任务 ， 再 结合 具体 的 熏 情 状况 完成 后 续 的 工作 。 前 者 需要 借助 一 定 的 与 情 监测 工作 
平台 完成 ， 后 者 需要 恤 情 工作 者 的 知识 、 经 验 等 完成 ， 要 求 舆 情 工作 者 具有 一 定 的 工作 素养 。 因 此 ， 网 络 舆 情 工作 是 智能 系统 和 
人 工 的 结合 。 


网 络 屠 情 监 测 是 指 利用 爬虫 技术 抓 取 互联 网 上 的 信息 ， 经 过 分 析 筛 选 后 对 言论 和 观点 进行 监视 的 一 种 行为 。 熏 情 监 测 系统 利 
用 爬虫 技术 ， 能 根据 用 户 预 定 的 监测 关键 词 在 一 定时 间 内 发 现 若 干 个 重点 媒体 、 论 坛 、 博 客 和 微 博 等 网 站 里 的 舆情 信息 ， 并 对 危 
机 信息 及 时 报警 。 系 统 利用 中 文 分 词 技术 、 自 然 语言 处 理 技术 、 中 文 信息 处 理 技术 ， 对 信息 进行 垃圾 过 滤 、 去 重 、 相 似 性 聚 类 、 


人 、 社 会 群体 、 社 会 组 织 、 社 会 产品 或 不 同 社会 现象 、 事 件 和 话题 等 所 做 出 的 描述 性 、 探 索性 、 解 释 性 分 析 。 通 过 网 络 与 情 监 测 
系统 以 及 相关 的 网 络 熏 情 分 析 ， 相 关 部 门 可 以 及 时 了 解 网 络 和 与 情 动态 ， 关 注 到 自己 在 网 络 与 情 中 的 状态 ， 从 而 可 以 进行 网 络 与 情 
预警 ， 及 时 应 对 网 络 上 关于 自己 的 负面 舆论 影响 ， 为 部 门 网 络 危机 公关 或 品牌 形象 营销 提供 数据 支撑 。 


面 对 数 量 日 益 激增 的 互联 网 网 民 ， 面 对 互联 网 传播 渠道 的 多 元 化 ，BBS、 论 坛 、 社 区 、 微 博 、 博 客 和 新 闻 等 ， 政 府 、 企 、 事 
业 单 位 、 个 人 如 何 能 在 互联 网 旋涡 中 游 轧 有 余地 应 对 各 种 问题 ， 尤 其 是 突 发 事件 ， 成 了 当前 必须 重视 的 首要 问题 。 因 此 ， 进 行 网 
络 与 情 管理 意义 重大 。 第 一 ,根据 “ 海 恩 法 则 ”， 即 任何 严重 事故 都 是 有 征兆 的 ， 如 果 能 够 尽早 发 现 这 些 征兆 ， 并 对 其 进行 正确 
的 解读 ， 就 有 可 能 防 患 于 未 然 。 第 二 ， 网 络 媒体 形成 了 一 个 言论 的 “自由 市 场 ”， 强 大 的 舆论 影响 对 有 关 部 门 的 决策 和 施政 产生 
影响 。 第 三 ， 随 着 各 种 网 络 新 技术 的 出 现 和 应 用 ， 网 络 的 内 容 更 加 丰富 ， 了 网络 的 社会 影响 力 更 加 强大 。 第 四 ， 把 握 网 络 与 情 考 
验 着 政府 官员 和 社会 各 组 织 负 责 人 ， 网 络 监督 以 其 不 受 时 空 限制 、 举 报 者 隐蔽 性 的 特点 ， 弥 补 了 当前 监督 机 制 的 弱点 。 


7.3.1 网络 恤 情 收 集 


网 络 重 情 收集 ， 是 指 按照 既定 的 程序 和 步骤 ， 通 过 各 种 渠道 ， 广 泛 获 取 、 汇 集 与 情 的 过 程 。 它 是 网 络 与 情 工 作 的 基础 性 环 
节 ， 主 要 涉及 从 哪 收集 、 收 集 什 么 、 如 何 收集 等 问题 。 从 某 种 意义 上 进 ， 僵 情 收 集 情 况 决 定 着 舆情 信息 工作 的 成 效 ， 因 为 没有 舆 
情 收集 ， 和 与 情 分 析 就 会 陷入 “ 巧 妇 难为 无 米 之 炊 ” 的 困境 ， 和 与 情 引 导 也 就 无 从 谈 起 。 


从 政府 角度 来 说 ， 网 络 与 情 收集 的 意义 在 于 : 一 是 可 以 了 解 社情 民意 ， 建 设 服 务 型 政府 。 例 如 ，2013 年 网 络 传言 昆明 安宁 
中 石油 项 目 要 建 PX 炼 油 厂 ， 将 严重 影响 昆明 环境 。 昆 明 市 市 长 李 文 荣 于 2013 年 5 月 17 日 开通 新 浪 微 博 ， 大 批 网 友 就 中 石油 云南 
炼油 项 目 同 其 对 话 ， 也 有 网 友 就 旅游 、 道 路 拥堵 等 民生 问题 进行 留言 ， 希 望 引起 重视 并 得 到 解决 。 二 是 可 以 加 强 监督 、 制 约 ， 推 
进 反 腐 倡 廉 工作 。 当 前 网 络 反腐 已 进入 前 所 未 有 的 境地 ， 从 “ 表 叔 ”到 “ 房 抄 ”， 乃 至 网 络 举报 的 部 级 高 官 ; 中 央 纪 委 监察 部 网 
站 也 已 经 正式 开通 。 三 是 可 以 遏制 虚假 、 不 良 信息 的 传播 。 虚 假 与 不 良 信息 ， 特 别 是 网 络 谣言 、 网 络 造假 之 类 的 噪声 杂音 很 难 杜 
绝 ， 对 社会 的 和 谐 与 稳定 危害 巨大 。 通 过 不 间断 的 司 情 收集 ， 可 以 动态 跟踪 舆情 走向 ， 探 查 虚 假 、 不 良 信息 。 这 为 开展 有 针对 性 
的 与 情 信息 分 析 、 引 导 莫 定 了 坚实 的 基础 。 


1. 网 络 与 情 收集 原则 


与 情 收 集 要 围绕 以 下 几 个 核心 ， 抓 住 难点 、 重 点 与 热点 问题 。 整 体 而 言 ， 从 热点 与 情 本 身 涉及 的 当事人 特点 或 具体 领域 出 


生 事 件 和 社会 安全 事件 。 和 六 大 关系 分 别 是 官民 关系 、 警 民 关 系 、 城 乡 天 系 、 劳 资 和 天 系 、 贫 富 关 系 和 医 患 关 系 。 十 六 大 热点 分 别 是 
有 反腐 倡 廉 、 网 络 问 政 、 司 法 公正 、 城 管 执法 、 强 制 拆迁 、 就 业 失业 、 芍 断 企业 、 社 会 思潮 、 与 论 监 督 、 房 价 物 价 、 文 化 之 争 、 弱 
势 群体 、 教 育 改革 、 道 德 失范 、 三 农 问 题 和 扫黄 打非 。 此 外 ， 在 涉外 与 情 中 ， 较 突出 的 有 领 圭 主权、 经济 贸易 、 文 化 冲突 、 民 族 
情绪 、 历 史 问 题 和 军事 动态 等 。 在 这 些 热点 事件 的 收集 中 ， 还 要 注意 一 些 问题 ， 如 国家 大 事 与 大 局 ， 以 重大 决策 来 确定 舆情 收集 
的 主题 ; 对 于 社会 热点 ， 和 与 情 收 集 要 体现 时 效 性 与 专业 性 ;对 突 发 事件 ， 建 立 有 效 的 监控 机 制 ; 对 社会 思潮 的 发 展 ， 把 握 现 时 政 
策 的 熏 论 环境 。 


与 情 收集 并 非 为 收集 而 收集 ， 不 能 充 门面 ， 其 目的 在 于 为 僵 情 分 析 葛 定 基础 ， 最 终 为 科学 决策 服务 。 所 以 ， 所 收集 的 熏 情 信 
息 应 经 过 加 工 和 筛选 ， 以 便 对 政府 决策 提供 参考 价值 。 


与 情 收集 不 能 “报喜 不 报 忧 ”。 对 于 社会 公众 所 持 有 的 社会 政治 态度 ， 熏 情 信息 工作 者 要 如 实地 传递 给 决策 者 ， 进 而 增强 决 
策 的 科学 性 。 和 与 情 收 集 的 客观 性 要 求 收集 者 本 着 实事 求 是 的 态度 ， 对 待 社 会 公众 的 与 情 ， 既 收集 正面 、 积 极 的 熏 情 ， 也 收集 负 


面 、 消 极 的 与 情 ， 而 不 能 粉饰 太平 ， 更 不 能 压制 异己 之 言 。 
导 情 信息 的 收集 要 坚持 动态 跟踪 的 原则 ， 对 社会 公众 熏 情 的 变化 及 时 加 以 了 解 。 熏 情 信息 的 收集 要 具有 连续 性 ， 做 到 动态 反 


情 
， 持 续 报 送 。 同 时 ， 对 于 敏感 时 间 、 敏 感 地 点 发 生 的 敏感 事件 ， 要 加 大 监测 的 力度 。 


浪 


与 情 一 旦 产生 ， 就 具有 波状 快速 扩散 的 传播 特性 ， 往 往 涉及 多 个 主体 ， 需 要 进行 分 工 协作 ， 共 同 完成 僵 情 收集 的 任务 。 多 方 
面 的 舆情 信息 汇总 不 是 简单 的 相 加 。 


2. 网 络 重 情 收集 渠道 


与 情 收集 的 渠道 是 获取 恤 情 人 
集 渠 道 ， 获 取 全 面 、 多 样 的 与 情 人 


了 中 


息 的 途径 与 方式 。 与 情 收集 的 渠道 不 同 ， 所 收集 的 与 情 也 不 同 。 因 此 ， 需 要 借助 不 同 的 重 情 收 
息 ， 以 在 相互 比较 、 相 互补 充 中 发 现 有 价值 的 与 情 信息 。 


} 


Dl 


传统 媒体 是 相对 于 近 几 年 兴起 的 网 络 新 兴 媒 体 而 言 的 ， 以 传统 的 大 众 传播 方式 ， 即 通过 某 种 机 械 装置 定期 向 社会 公众 发 布 信 
息 或 提供 教育 娱乐 交流 活动 的 媒体 ， 包 括 电视 、 报 刊 和 广播 3 种 传统 媒体 。 


新 兴 媒 体 主要 包括 网 络 媒体 与 移动 媒体 等 。 与 传统 媒体 相 比 ， 它 们 具有 信息 传播 的 即时 性 、 快 捷 性 、 广 泛 性 与 互动 性 等 特 
征 。 互 联网 作为 当今 社会 一 个 反映 民意 的 窗口 和 海 纳 与 情 的 空间 ， 已 成 为 僵 情 的 产生 、 形 成 、 发 展 和 传播 的 最 重要 的 来 源 。 与 其 
他 熏 情 信息 渠道 相 比 ， 网 络 舆 情 的 收集 显得 更 快 、 更 全 ， 已 成 为 当前 最 为 重要 和 普遍 的 与 情 收集 来 源 。 互 联网 成 为 弱势 群体 表达 
利益 诉求 的 通道 。 传 统 的 “公共 知识 分 子 ”借助 互联 网 频繁 发 言 ， 关 注 时 事 政治 ， 热 袁 于 “观念 启蒙 ”， 延 展 其 影响 力 。 一 些 演 
艺 明星 开始 关注 时 政 ， 其 局 部 舆论 影响 力 ， 超 过 传统 的 学 者 、 作 家 群 。 高 收入 阶层 ， 如 房地产 商 、 投 资 家 等 ， 也 在 网 上 十 分 活 
跃 ， 其 微 博 粉丝 都 在 百 万 以 上 。 官 方 背景 人 士 和 机 构 也 找到 互联 网 “发 声 ”， 试 图 推动 解决 体制 内 难以 处 理 的 问题 。 


(1) 网 络 新 闻 


新 闻 信 息 是 网 络 信息 传播 的 内 容 主体 ， 浏 览 新 闻 网 站 和 商业 网 站 的 新 闻 信息 内 容 ， 是 收集 网 络 舆 情 的 重要 手段 之 一 。 目 前 ， 
我 国 网 民 日 常 经 常 接触 的 网 络 新 闻 媒 体 主 要 有 以 下 3 类 : 第 一 类 是 我 国 新 闻 宣 传 体制 内 4 大 传统 媒体 (报纸 、 杂 志 、 广 播 、 电 
视 ) 衍生 的 网 站 ， 如 新 华 网 、 央 视 网 和 人 民 网 等 ， 其 原创 新 闻 与 评论 逐渐 兴起 ， 这 类 新 闻 网 站 具有 较 高 权威 性 。 第 二 类 是 随 着 互 
联网 一 步 步 发 展 起 来 的 各 大 门户 网 站 ， 如 新 浪 、 搜 狐 、 网 易 和 腾讯 等 全 国 性 商业 新 闻 网 站 ， 各 地 方 也 逐渐 出 现 地 域 性 的 商业 性 新 
闻 网 站 。 门 户 网 站 的 新 闻 来 源 ， 大 量 转 载 传统 媒体 及 其 网 络 新 闻 。 不 少 门户 网 站 推出 各 种 网 络 专题 与 原创 评论 ， 是 网 络 与 情 收集 


的 重要 渠道 。 第 三 类 是 国外 各 大 新 闻 网 站 ， 在 涉外 恤 情 信息 收集 中 ， 境 外 网 站 新 闻 及 网 民 的 言论 是 重要 的 收集 渠道 。 在 此 需要 注 
意 的 是 ， 在 收集 熏 情 信息 的 过 程 中 ， 和 与 情 监 测 人 员 要 有 高 度 的 政治 敏锐 感 与 责任 感 ， 选 取 真 实 、 理 性 和 客观 的 言论 样本 。 


(2) 社交 型 媒体 


微 博 和 和 SNS 社交 网 络 同属 于 社交 型 媒体 。 社 交 媒 体 是 指 允 许 人 们 撰写 、 分 享 、 评 价 、 讨 论 、 相 互 沟通 的 网 站 和 技术 。 社 交 媒 
体 是 人 们 彼此 之 间 用 来 分 享 意 见 、 见 解 、 经 验 和 观点 的 工具 和 平台 ， 现 阶段 主要 包括 社交 网 站 、 微 博 、 微 信 、 博 客 、 论 坛 和 播客 
等 。 社 交 媒 体 在 互联 鞍 勃 发 展 ， 爆 发 出 巨大 能 量 ， 其 传播 的 信息 已 成 为 人 们 浏览 互联 网 的 重要 内 容 ， 制 造 了 人 们 社交 生活 中 争 相 
讨论 的 一 个 又 一 个 热门 话题 ， 进 而 吸引 传统 媒体 争 相 转 载 。 


1) 论坛 。 如 今 网 民 可 以 随时 随地 上 网 ， 在 网 络 社区 中 发 帖子 ， 发 表 带 有 个 人 观点 的 各 种 信息 。 论 坛 和 和 BBS 是 网 络 和 与 情 收集 
的 最 重要 领域 。 目 前 ， 中 国 大 概 有 130 万 个 BBS，1 亿 人 访问 。 在 影响 全 国 网 络 熏 论 走势 的 BBS 中 ， 比 较 著 名 的 有 天 涯 社区 、 凯 迪 
社区 、 中 华 网 论坛 、 强 国 论坛 、 百 度 贴吧 、 新 华发 展 论坛 、 央 视 复 兴 论坛 、 凤 凰 网 论坛 、 西 祠 胡 同 、 华 声 论 坛 、 网 易 论 坛 、 新 浪 
论坛 、 搜 狐 社 区 、 腾 讯 论坛 、 大 旗 网 、 猫 扑 论坛 、 奇 虎 社 区 、 西 陆 社 区 、 国 际 在 线 、 铁 血 论 坛 、 水 木 社区 和 博客 网 论坛 等 ; 另 
外 ， 红 网 论坛 、 京 华 论坛 、 大 洋 论坛 、 南 方 社区 、 深 圳 论坛 等 带 有 地 域 特色 的 论坛 影响 力也 很 大 。 


2) 微 博 。 微 博客 的 简称 ， 是 一 个 基于 用 户 关系 信息 分 享 、 传 播 以 及 获取 的 平台 。 用 户 可 以 通过 Web、 无 线 应 用 协议 
(Wireless Application Protocol，WAP) 等 各 种 客户 端 组 建 个 人 社区 ， 以 140 字 左右 的 文字 更 新 信息 ， 并 实现 即时 分 享 。 
早 ， 也 是 最 著名 的 微 博 是 美国 Twitter。2009 年 8 月 新 浪 推出 “新 浪 微 博 ” 内 测 版 ， 成 为 中 国 第 一 家 提供 微 博 服务 的 门户 网 站 ， 
微 博 正式 进入 中 文 上 网 主流 人 群 视野 。2013 年 上 半年 ， 新 浪 微 博 注册 用 户 达 到 5.36 亿 ，2012 年 第 三 季度 腾讯 微 博 注册 用 户 达到 
5.07 亿 ， 微 博 成 为 中 国 网 民 上 网 的 主要 活动 之 一 。 在 微 博 平台 上 ， 以 往 论坛 和 博客 的 传播 障碍 问题 被 解决 。 论 坛 、 博 客 适 合 于 深 


江 


3) 社交 网 站 。 社 交 网 站 是 社会 天 系 的 网 络 化 。 通 过 社交 网 站 我 们 与 朋友 保持 了 更 加 直接 的 联系 ， 建 立 大 交际 圈 ， 能 帮助 用 
户 找 到 失去 联络 的 朋友 。 网 站 上 通常 有 很 多 志趣 相同 并 互相 熟悉 的 用 户 群 组 。 社 交 网 站 具有 大 众 传播 和 私人 通信 的 双重 特征 ， 信 
息 只 在 个 人 圈子 里 流传 ， 具 有 较 强 的 私密 性 。 


4) 即时 通信 。 即 时 通信 是 一 种 基于 互联 网 的 即时 交流 消息 的 业务 。 即 时 通信 除了 能 加 强 网 络 之 间 的 信息 沟通 外 ， 最 主要 的 
是 可 以 将 网 站 信息 与 聊天 用 户 直 接连 接 在 一 起 。 通 过 网 站 信息 向 聊天 用 户 群 及 时 群发 ， 可 以 迅速 吸引 聊天 用 户 群 对 网 站 的 关注 ， 
从 而 加 强 网 站 的 访问 率 与 回头 率 。 在 中 国 ， 目 前 有 QQ、 百 度 hi、 新 浪 UC、 网 易 泡 泡 、 飞 信 、 微 信 、 阿 里 旺旺 和 YY 语音 等 多 种 
即时 通信 工具 。 如 今 即 时 通信 信息 传播 影响 力 日 益 增强 ， 其 承载 的 功能 也 越 来 越 丰富 ， 形 态 也 越 来 越 多 样 。 例 如 微 信 征 腾 讯 公司 
于 2011 年 初 推出 的 一 款 通 过 网 络 快速 发 送 语音 短信 、 视 频 、 图 片 和 文字 ， 支 持 多 人 群 聊 的 手机 聊天 软件 。2013 年 初 ， 腾 讯 宣布 
微 信 注 册 用 户 已 超过 3 亿 。 这 意味 着 在 中 国 11 亿 的 手机 用 户 中 ， 腾 讯 微 信 的 渗透 率 达到 27.39%。 


5) 视频 播客 。 播 客 从 技术 上 说 ， 就 是 在 “博客 ”文字 和 图 片 之 上 ， 加 入 声音 、 视 频 。 一 种 所 有 人 都 可 以 轻松 录制 、 所 有 人 
都 可 以 随时 随地 收听 的 网 络 广播 ， 这 就 是 播客 。 国 外 以 YouTube、 国 内 以 优酷 为 代表 的 视频 网 站 为 原创 视频 提供 了 开放 式 的 传 
播 平台 ， 有 的 还 设 有 “头条 新 闻 ” 进 行 议程 设 置 和 熏 论 引导 。 另 外 ， 视 频 网 站 上 大 多 数 是 普通 公众 拍摄 的 简单 、 直 白 和 感性 的 视 
频 ， 但 这 些 数量 庞大 的 视频 中 也 有 可 能 提供 大 量具 有 新 闻 价 值 的 信息 ， 产 生 一 大 批 “ 公 民 记 者 ”。 


3. 网 络 恒 情 收 集 方法 
网 络 重 情 的 收集 方法 一 般 可 分 为 两 大 类 ， 一 类 是 自己 监测 ,一 类 是 委托 他 人 监测 。 


自己 监测 ， 是 指 由 本 单位 开发 系统 并 组 织 人 力 实施 与 情 监 测 。 目 前 ， 监 测 的 方式 主要 有 两 种 ， 一 是 浏览 ， 二 是 搜索 。 浏 览 就 
是 “看 ”， 是 发 现 和 搜集 鳞 情 的 基本 方法 。 搜 索 就 是 “ 找 ”， 是 发 现 网 络 铺 情 信 息 的 男 一 种 方式 。 这 一 方式 又 可 分 为 两 个 具体 方 
面 , 一 是 人 工 利用 搜索 引擎 技术 进行 信息 检索 ， 二 是 开发 使 用 智能 搜索 软件 自动 适时 抓 取 。 智 能 搜索 软件 可 以 根据 事先 定义 的 信 


息 检索 要 求 ， 主 动 从 互联 网 上 检索 相应 的 信息 ， 实 现实 时 监测 信息 源 的 动态 变化 。 利 用 网 络 和 与 情 监 测 系统 ， 能 使 抓 取 和 分 析 的 功 
能 更 加 强大 ， 除 了 提供 奥 情 信息 的 搜索 ， 更 有 自动 友 现 、 趋 势 分 析 、 专 题 追踪 、 自 动 预 警 和 自动 分 类 等 功能 。 


委托 监测 主要 指 委 托 专 业 技术 和 熏 情 监测 机 构 代为 监测 本 部 门 、 本 系统 、 本 地 区 的 网 络 重 情 。 通 常 这 些 专 业 机 构 都 有 比较 先 
进 的 网 络 和 与 情 监测 系统 ， 形 成 了 一 套 较 完整 的 网 络 与 情 监 测 理论 体系 、 工 作 方 法 、 作 业 流 程 和 应 用 技术 ， 有 一 群 专业 的 具备 传播 
学 、 社 会 学 、 经 济 学 、 公 共管 理学 、 数 理 统计 学 等 专业 背景 的 舆情 分 析 人 员 ， 有 这 些 专业 的 机 构 和 人 员 来 做 舆情 监测 ， 结 果 会 更 
全 面 、 更 科学 。 


7.3.2 ”网 络 恤 情 分 析 


网 络 与 情 分 析 就 是 针对 互联 网 上 的 重 情 ， 进 行 思维 加 工 和 分 析 研 究 ， 得 到 相关 结论 的 过 程 。 和 与 情 是 较 多 群众 关于 现实 社会 及 
社会 中 各 种 现象 、 问 题 所 表达 的 信念 、 态 度 、 意 见 和 情绪 表现 的 总 和 。 网 络 擂 情 与 社会 舆情 在 内 容 表现 形态 方面 具有 一 致 性 ， 网 
络 和 与 情 在 一 定 程度 上 会 影响 社会 生 情 的 发 展 趋势 。 进 行 熏 情 分 析 ， 必 须 掌握 以 下 相应 的 原则 和 方法 。 


1. 网 络 与 情 分 析 原 则 


开展 网 络 熏 情 分 析 活 动 ， 首 先 要 遵循 专业 性 的 原则 。 与 情 分 析 是 一 项 高 难度 的 统计 、 研 究 与 编辑 工作 ， 要 求 工 作 人 员 具 备 基 
本 的 新 闻 学 、 传 播 学 、 统 计 学 、 政 治学 、 历 史学 、 法 律 、 社 会 学 、 心 理学 和 管理 学 等 多 学 科 知 识 。 应 尽量 在 自己 擅长 的 或 者 是 有 
专业 经 验 的 领域 做 好 基础 工作 ， 避 免 做 “万 能 ”的 舆情 点 评 。 如 果 涉 足 陌生 的 题材 ， 一 定 要 做 好 准备 工作 (包括 相关 理论 知识 的 
储备 ) ， 尽 可 能 搜集 足够 多 的 与 情 样本 ， 加 入 实践 性 的 考察 和 调查 ， 了 解 相 关 领 域 专家 、 意 见 领袖 的 言论 。 


在 网 络 铀 情 分 析 工 作 中 ， 还 应 注重 遵循 公正 性 的 原则 。 开 展 网 络 熏 情 分 析 活 动 时 ， 熏 情 分 析 师 的 身份 定位 是 裁判 员 而 非 运 动 
员 , 分 析 活 动 可 以 判 是 非 、 可 以 判 黑白 ， 还 可 判 中 庸 。 熏 情 分 析 师 的 分 析 和 评论 的 立场 要 独立 、 客 观 。 熏 情 分 析 师 必须 在 实践 的 
基础 上 谨慎 探索 、 独 立 判 断 ， 坚 持 理性 和 客观 的 职业 准则 。 要 对 于 未 经 验证 的 网 络 言论 保持 清醒 的 头脑 ， 在 激烈 的 矛盾 冲突 中 保 
持平 衡 ， 要 排除 各 种 主观 因素 的 干扰 ， 要 避免 被 某 些 网 民 的 “刻板 印象 ”和 “标签 ”左右 。 


2. 网 络 和 与 情 分 析 方 法 

网 络 擂 情 分 析 的 基本 工作 模式 可 归纳 为 “三 结合 ” ， 即 定性 分 析 与 定量 分 析 相 结合 ， 人 工分 析 与 软件 应 用 相 结合 ， 和 与 情 分 析 
师 基 础 工作 与 专家 委员 会 舆 情 研判 相 结合 。 在 开展 具体 工作 时 ， 可 通过 以 下 方法 培养 和 促进 网 络 僵 情 分 析 能 力 的 提升 。 

(1) 培养 敏锐 性 和 危机 管理 思维 


网 络 擂 情 分 析 要 在 有 大 量 信息 资源 的 基础 上 培养 新 闻 敏 锐 性 及 分 析 触 觉 。 舆 情 分 析 师 要 利用 系统 监测 所 得 的 信息 追溯 新 闻 源 
头 ， 对 于 突 发 的 公共 事件 和 热门 的 话题 能 够 如 数 家 珍 ， 熟 知 网 络 流行 语 和 热门 段子 。 要 有 较 强 的 新 闻 敏 感性 ， 能 够 迅速 把 握 热 
点 ,准确 分 析 和 与 情 ， 预 测 熏 情 走势 。 此 外 ， 熏 情 分 析 师 似 记者 而 不 同 于 记者 ， 他 是 熏 情 服务 的 抓 手 。 记 者 是 对 新 近 发 生 的 任何 事 
的 记录 者 ， 主 要 在 于 还 原 现场 。 与 记者 相 比 ， 和 与 情 分 析 师 除了 具备 网 络 热点 事件 的 生成 和 传播 的 调查 能 力 ， 更 强调 分 析 研 究 和 危 
机 管理 思维 。 熏 情 分 析 师 要 在 还 原 新 闻 原 貌 的 基础 上 ， 深 入 挖掘 新 闻 现象 背后 的 深层 合 义 ， 同 时 具备 质疑 精神 。 加 强 与 情 分 析 素 
养 ， 首 先 要 求 具 备 从 海量 信息 中 快速 搜集 、 甄 别 、 研 判 信息 的 能 力 ; 其 次 是 要 具备 深厚 的 知识 储备 和 相当 丰富 的 生活 阅历 ;最 后 
是 要 有 驾驭 全 局 的 视野 和 高 超 的 文字 表达 能 力 。 


(2) 科学 客观 地 进行 观点 取样 


网 络 与 情 分 析 的 难点 主要 包括 两 个 方面 ,一 是 科学 的 取样 分 析 。 网 络 与 情 的 内 容 非常 丰富 ， 如 何在 这 种 庞杂 的 系统 里 面 找到 


最 有 价值 的 信息 ， 然 后 进行 科学 的 分 析 研 判 ， 是 一 个 分 析 师 所 应 具备 的 基本 素质 。 既 不 要 太 主 观 ， 同 时 也 不 要 有 一 定 的 倾向 性 ， 

必须 带 有 一 个 绝对 客观 公正 的 立场 去 看 待 网 络 舆 情 上 的 一 些 复杂 内 容 。 二 是 分 析 的 科学 性 和 准确 性 。 恤 情 研究 不 像 自然 科学 ， 主 
要 是 对 客观 规律 做 研究 。 奥 情 研 究 主要 是 对 与 人 有 关 的 内 容 进 行 研究 ， 对 于 网 络 和 与 情 观点 的 抽样 上 ， 要 注重 时 效 性 、 代 表 性 ， 选 
择 传 播 率 比较 高 、 比 较 快 的 网 络 意见 。 抽 样 既 要 考虑 像 天 涯 社区 、 凯 迪 、 新 浪 微 博 这 样 比较 大 众 化 的 网 络 载体 ， 也 要 考虑 到 相对 
比较 小 众 的 一 些 地 方 性 、 行 业 性 甚至 比较 专业 性 的 网 络 载体 ， 听 取 专 业 化 的 网 络 意见 ， 以 保证 在 舆情 选择 的 过 程 中 尽 可 能 的 全 

面 、 相 对 客观 。 


(3) 综合 分 析 形 成 准确 判断 


对 网 络 与 情 的 分 析 ， 首 先 要 明确 事件 或 话题 本 身 所 处 的 阶段 ， 一 般 分 为 引发 期 、 酝 酿 期 、 发 生 期 、 发 展期 、 高 潮 期 、 处 理 
期 、 平 息 期 和 反馈 期 等 不 同 阶段 。 其 次 ， 应 该 在 分 析 某 一 舆情 热点 之 前 对 其 进行 科学 的 类 型 界定 。 热 点 事件 一 般 分 为 突 发 自然 灾 
害 事件 、 生 产 安 全 事故 、 群 体 性 事件 、 公 共 卫 生 事件 、 公 权力 形象 、 司 法 事件 、 经 济 民生 事件 、 社 会 思潮 和 境外 涉 华 突 发 事件 
等 。 针 对 与 情 的 影响 力 、 民 众 利 益 的 关切 度 和 对 公共 部 门 形象 的 影响 程度 ， 重 情 分 析 的 观点 参数 设置 与 数据 分 析 框 架 应 注意 反映 
如 下 情况 : 事件 发 展 概况 与 脉络 ， 民 众 的 主要 观点 与 情绪 是 什么 ， 民 众 处 于 认 知 、 态 度 表 达 还 是 处 于 行动 阶段 ; 引起 民众 从 认 知 
到 社会 运动 ， 甚 至 社会 骚乱 的 程度 ; 组织 化 程度 与 有 无 行动 计划 性 。 在 媒体 类 型 上 注意 区 分 媒体 历史 形态 、 媒 体 控制 类 型 与 地 域 
类 型 。 在 对 各 种 观点 做 具体 的 定性 分 析 时 ， 为 研究 结果 做 结论 时 应 该 注意 材料 之 间 的 异同 ， 避 免 为 了 结论 的 独立 精确 而 牺牲 材料 
的 丰富 性 ， 应 该 兼顾 赞扬 、 支 持 、 中 立 、 不 关心 、 反 对 、 谴 责 等 不 同 态度 ， 以 防止 观点 遗漏 导致 分 析 结 论 偏颇 。 


(4) 展示 清晰 翔实 的 分 析 结 果 


进行 网 络 熏 情 分 析 ， 通 常会 以 分 析 报 告 的 形式 ， 展 示 分 析 结 果 。 要 形成 一 份 条 理 清晰 、 内 容 翔 实 的 分 析 报 告 ， 应 注意 处 理 好 
分 析 评 论 的 几 个 要 点 : 首先 ， 要 确定 与 情 分 析 评 论 的 角度 ， 确 定 文章 立意 是 中 庸 式 、 尖 锐 式 或 者 综合 评论 式 。 其 次 ， 要 确定 与 情 
分 析 的 层次 ,分 清 主 要 、 重 要 、 次 要 ， 要 突出 主题 。 最 后 ， 要 确定 分 析 的 中 心 论 点 ， 围 绕 中 心 论点 确定 分 论点 ， 然 后 层 层 推 进 地 
进行 论证 。 此 外 ， 由 于 图 表 与 列表 能 够 清晰 、 直 观 、 简 洁 、 深 刻 、 形 象 地 表现 与 情事 件 ， 因 此 利用 图 表 展 示 分 析 数 据 和 分 析 结 果 
也 非常 重要 。 可 以 根据 该 舆情 事件 本 身 的 特征 科学 地 选择 图 表 ， 如 趋势 图 、 比 例 饼 图 、 百 分 比 柱 图 和 流程 图 等 ; 表格 的 设计 则 要 


简洁 实用 ， 科 学 高 效 。 


7.3.3 ”网 络 恤 情 应 对 


新 媒体 时 代 ， 信 息 环境 正 由 单一 的 权威 发 布 向 “ 众 声 喧哗 ”的 奥 论 场 转变 ， 这 不 仅 是 媒介 介质 的 一 次 革命 ， 更 是 一 种 软环境 
的 革新 。 近 年 来 大 量 发 生 的 网 络 和 与 情事 件 表 明 ， 互 联网 与 情 正 在 逐渐 改变 我 国 原 有 的 社会 奥 论 生态 环境 ， 塑 造 一 种 新 的 社会 存在 
方式 和 生存 状态 ， 并 且 在 新 生成 的 熏 论 格局 中 占据 无 可 替代 的 显著 位 置 ， 也 正在 对 政府 的 社会 管理 方式 产生 一 系列 重大 而 深刻 的 
影响 ， 这 种 变化 势必 带 来 传统 行政 管控 方式 的 转变 。 有 效 进行 网 络 与 情 应 对 ， 必 须 了 解 网 民心 理 。 中 国 网 民心 理 特点 主要 包括 : 
话语 表达 和 社会 参与 需求 强烈 、 政 治 上 较为 激进 ; 具有 正义 感 和 使 命 感 ， 不 患 寡 患 不 均 ; 网 络 观 点 多 、 论 据 少 ; 言论 感性 化 、 情 
绪 化 ; 群体 极 化 效应 明显 ， 群 体感 染 性 强 ; 存在 语言 暴力 和 网 络 暴力 倾向 ; 多数 网 民 是 通 情 达 理 的 ， 他 们 在 乎 的 是 尊重 和 态度 。 


1. 网 络 与 情 应 对 原则 
建立 网 络 重 情 应 对 机 制 ， 应 注意 把 握 以 下 几 个 方面 的 原则 。 


一 是 加 强 意识 形态 建设 。 要 加 强 对 意识 形态 领域 工作 的 重视 和 领导 ， 提 高 驾驭 意识 形态 工作 的 能 力 ， 提 高 发 展 社会 主义 先进 
文化 的 能 力 ， 加 强 研 究 、 组 织 和 策划 ， 用 积极 健康 向 上 的 思想 文化 占领 鳞 论 阵地 ， 形 成 强势 主流 熏 论 ， 影 响 社会 奥 论 场 、 群 体 与 
论 场 和 和 人们 的 口头 与 论 场 。 


二 是 加 强 思 想 政治 工作 。 发 挥 思想 政治 工作 优势 ， 做 好 矛盾 化 解 、 朴 通 工 作 ， 做 好 凝聚 人 心 、 鼓 舞 干 劲 工作 ， 做 好 有 针对 性 
的 教育 工作 ， 树 立 和 形成 良好 社会 风气 ， 影 响 并 共鸣 于 人 们 的 认识 ， 从 最 深 处 影响 人 们 的 思想 ， 实 现 人 心 和 谐 公 正 。 


三 是 提升 主流 媒体 的 引导 和 能力。 要 注意 加 强 对 主流 媒体 的 支持 和 扶持 ， 更 好 地 发 挥 其 舆论 引导 作用 。 主 流 媒 体 要 强化 大 局 意 
识 、 责 任意 识 、 阵 地 意识 ， 坚 持 正确 导向 ， 不 断 提高 引导 水 平 。 通 过 热点 引导 、 典 型 宣传 和 恤 论 监督 等 手段 ， 建 设 科 学 、 正 确 的 
与 论 传播 基地 ， 提 高 传播 质量 ， 扩 大 传播 影响 ， 形 成 熏 论 强势 。 


四 是 引导 新 兴 媒 体 发 挥 积极 作用 。 要 重视 和 发 挥 互 联网 等 新 兴 媒 体 “ 思 想 文 化 信息 的 集散 地 和 社会 与 论 的 放大 器 ”的 作用 ， 
探索 积极 有 效 的 管理 运行 机 制 ， 引 导 新 媒体 进一步 树立 责任 意识 ， 严 格 按 规范 运作 ， 尤 其 要 加 强 对 信息 来 源 的 把 握 和 传播 内 容 的 
把 天 ， 冷 静 地 辨认 并 防止 那些 有 意 的 、 非 理性 的 损害 公共 利益 和 国家 利益 的 不 和 谐 的 杂音 。 


五 是 加 强国 际 传播 能 力 建设 。 要 加 强国 际 间 交 流 合作 ， 建 立 针对 国际 强势 媒体 的 公关 协调 机 制 ， 有 效 引导 国际 恒 论 ， 减 少 品 
、 杂 音 。 坚 持 “ 走 出 去 ”的 发 展 战略 ， 构 筑 国际 化 传播 覆盖 体系 ， 加 强国 际 传播 能 力 建设 ， 更 好 地 发 出 中 国 的 主流 声音 。 


六 是 创新 舆 论 引 导 组 织 体系 。 进 行 舆 论 引导 组 织 体系 创新 ， 培 育 非 政府 组 织 和 民间 意见 领袖 ， 建 立 政策 讲解 员 、 文 明 监督 员 
等 民间 队伍 ， 尽 可 能 多 地 将 政府 的 直接 引导 过 渡 到 间接 引导 ， 借 助 中 间 组 织 ， 集 合 自发 的 离散 民意 ， 开 展 理性 的 表达 和 诉求 ， 有 


效 整 合 民意 ， 增 进 舆 论 和 谐 。 


七 是 完善 舆论 引导 管理 体系 。 建 立 健全 新 闻 评 价 体系 ， 对 新 闻 报 道 工作 进行 及 时 、 准 确 、 有 效 的 点 评 ， 对 新 闻 媒 介 及 其 传播 
导 活 动 进行 评估 ， 并 加 强 舆 论 引导 评估 结果 的 应 用 。 加 强 对 媒介 与 论 传播 和 引导 工作 的 指导 、 管 理 和 监督 ， 建 立 完善 舆论 引导 
的 宏观 管理 调控 体系 。 


2. 网 络 重 情 应 对 方法 
利用 网 络 平台 ， 积 极 进行 网 络 熏 情 应 对 ， 有 利于 弘扬 社会 正气 、 通 达 社 情 民意 、 引 导 社 会 热点 和 琉 导 公众 情绪 。 
(1) 进一步 增强 危机 意识 ， 着 力 提升 网 络 熏 情 的 回应 能 


网 络 的 快速 友 展 既 为 政府 开展 宣传 思想 文化 工作 提供 了 新 载体 和 新 阵地 ， 又 给 政府 的 新 闻 管理 特别 是 突 发 敏感 事件 的 熏 论 引 
导 带 来 挑战 和 考验 。 由 于 网 络 熏 情 并 非 “ 无 中 生 有 ”， 而 是 伴随 着 突 发 事件 在 网 络 上 事态 的 扩大 而 产生 的 。 因 此 ， 应 对 网 络 重 情 
事件 最 有 效 的 方法 就 是 增强 政府 官员 的 危机 意识 和 回应 能 力 ， 争 取 尽 快 把 问题 解决 在 萌芽 状态 。 实 现 上 述 目标 ， 一 方面 要 进一步 
增强 预防 和 应 对 网 络 熏 情 事件 的 危机 意识 ， 重 视 熏 情 监 测 工作 ， 要 加 强 对 网 络 熏 情 的 汇集 分 析 。 从 突 发 事件 的 征兆 出 现 到 危机 开 
始 ， 就 应 该 对 网 络 与 情 信 息 进行 收集 、 整 理 、 分 析 和 鉴别 ， 善 于 捕 所 与 情 的 表象 ， 提 前 做 好 预防 工作 ， 制 定 出 行 之 有 效 的 应 对 方 
案 ， 以 防止 与 情 进一步 扩大 和 升级 。 另 一 方面 要 着 力 提升 政府 官员 的 回应 能 力 。 必 须 丰 固 树 立 以 人 为 本 、 执 政 为 民 的 执政 理念 ， 
建立 信息 反馈 机 制 ， 加 强 与 网 民 沟 通 ， 对 网 民 提 出 的 问题 、 意 见 和 要 求 予 以 详细 解答 ， 将 网 民 合 理 的 批评 建议 纳入 政府 决策 范 
围 ， 及 时 解决 群众 在 日 常生 活 中 遇 到 的 难题 。 


(2) 及 时 公开 信息 ， 切 实 把 握 舆 论 导 向 


近 几 年 来 突 发 的 网 络 与 情事 件 增多 ， 一 定 程度 上 也 是 各 种 谣言 和 矛盾 相互 交织 的 结果 。 要 化 解 这 些 危机 ， 政 府 必须 及 时 公开 
信息 ， 让 信息 透明 化 。 同 时 ， 做 好 政府 的 网 络 擂 情 引导 与 宣传 ， 用 事实 粉碎 谣言 ， 瓦 解 矛 盾 。 首 先 ， 拓 宽 信 息 公 开 渠 道 ， 及 时 公 
开 人 信息。 网民 在 面 对 突 如 其 来 的 事件 时 往往 会 陷入 极度 芍 慌 状态 ， 主 要 是 因为 获取 的 信息 渠道 窄 ， 对 信息 了 解 其 少 。 因 此 ， 及 
时 、 准 确 发 布 信息 可 以 尽快 稳定 民心 ， 充 分 保障 公众 的 知情 权 、 参 与 权 和 表达 权 。 其 次 ， 加 强 网 络 媒 体 的 熏 论 引导 。 快 速 、 公 开 
和 畅通 的 信息 渠道 是 引导 网 络 擂 情 的 重要 手段 。 必 须 加 强 网 络 媒体 的 舆论 引导 ， 充 分 利用 网 络 坚 持 正 确 的 舆论 导向 ， 不 断 更 新 突 
发 事件 的 新 闻 报道 ， 确 保 信息 的 真实 性 和 可 靠 性 ， 努 力 抢占 先 机 ， 赢 得 主动 。 要 准确 把 握 网 上 熏 论 态势 ， 避 免 给 一 些 别有用心 者 
(如 “ 秦 火 火 ”、“ 立 二 拆 四 ”等 网 络 衣 言 生产 者 ) 以 可 乘 之 机 ,使 一 些 “ 不 明 真 相 ” 的 网 民 群 情 激愤 ， 让 政府 工作 陷入 被 动 局 


面 。 还 要 善于 借助 各 种 媒体 获取 有 效 信息 ， 并 通过 媒体 做 好 网 络 宣 传 工 作 ， 营 造 积极 向 上 的 主流 熏 论 ， 用 正面 宣传 挤 压 各 种 负面 
观点 ， 消 除 不 良 影响 。 


(3) 加 强 法 治 建设 ， 善 用 法 律 手段 实施 监管 


互联 网 既然 作为 一 个 自由 的 与 论 平 台 ， 就 需要 接受 政府 的 引导 与 监督 。 加 强 法 治 建设 ,实行 网 络 监管 将 有 利于 规范 网 络 媒 体 
的 行为 ， 能 够 为 网 络 媒体 营造 一 个 健康 文明 的 熏 论 空间 。 英 国学 者 哈 耶 克 认 为 : “法 治 意味 着 政府 的 全 部 活动 应 受 预先 确定 并 加 
以 宣布 的 规则 的 制约 一 一 这 些 规则 能 够 使 人 们 明确 地 预见 到 在 特定 情况 下 当局 将 如 何 行使 强制 力 ， 以 便 根 据 这 种 认 知 规划 个 人 
的 事务 。” 因此， 政府 在 保障 公民 擂 论 自由 的 基础 上 ， 通 过 制定 法 律 对 公众 舆论 的 内 容 、 参 与 方式 等 做 出 明确 规定 ， 是 政府 有 条 
不 率 地 进行 各 种 活动 的 最 有 力 保障 。 政 府 在 引导 网 络 舆 情 的 过 程 中 ， 不 仅 要 重视 网 络 的 舆论 监督 ， 加 强 社会 热点 问题 的 舆论 引 
导 ， 完 善 重大 突 发 事件 的 新 闻 发 布 制度 ， 切 实 保障 公民 的 舆论 自由 ， 从 政治 制度 层面 上 减少 网 络 恤 情事 件 发 生 的 频率 ， 还 要 充分 
利用 法 律 手段 实施 熏 论 监督 。 政 府 部 门 必须 加 强 对 网 络 熏 论 的 引导 和 规范 ， 不 断 提 高 网 民 的 法 制 意识 ， 使 法 制 理念 深入 人 心 , 成 
为 每 个 网 民 内 在 的 约束 力量 。 赋 予 网 络 媒体 在 法 律 允 许 的 范围 内 对 那些 违法 乱 纪 的 网 民 进 行 曝光 的 权力 ， 引 导 公众 用 理性 的 方式 
表达 自身 诉求 ， 逐 渐 减 少 具有 危害 性 的 网 络 重 情 的 表达 方式 。 


(4) 畅通 民众 利益 表达 渠道 ， 规 范 网 络 政治 参与 者 行为 


鉴于 众多 网 络 僵 情事 件 是 由 于 利益 表达 渠道 狭 窒 和 民众 政治 参与 能 力 不 足 而 导致 的 ， 政 府 在 开启 公民 政治 参与 大 门 ， 建 立 合 
理 的 民意 表达 渠道 的 同时 ， 还 要 大 力 提高 网 络 政治 参与 者 的 素质 ， 规 范 网 络 政治 参与 者 的 行为 方式 ， 提 高 公民 参与 的 理性 化 程 
度 。 一 方面 ， 畅 通 民众 利益 表达 渠道 ， 提 高 公民 网 络 政治 参与 热情 。 由 于 大 多 数 公 民 在 参与 活动 时 符合 “理性 人 ”假设 ， 都 以 追 
求 自身 利益 最 大 化 为 政治 参与 目的 。 因 此 ， 政 府 要 建立 利益 诉求 的 网 络 表达 渠道 ， 加 强 与 网 民 的 直接 交流 互动 ， 使 政府 能 够 迅 
速 、 及 时 了 解 民众 的 利益 诉求 ， 努 力 协调 和 规范 民众 间 的 利益 关系 ， 在 一 定 程度 上 弥补 政府 “ 缺 位 ”的 现实 。 同 时 ， 要 大 力 发 展 
电子 政务 ， 为 网 民 的 利益 表达 提供 一 个 制度 化 途径 。 另 一 方面 ， 提 高 网 络 政治 参与 者 素质 ， 规 学 网 络 政治 参与 者 的 行为 。 政 治 参 
与 者 素质 直接 影响 政治 参与 方式 、 目 的 、 性 质 和 效果 。 所 以 ， 政 府 要 不 断 加强 网 民主 体 意识 的 培养 ， 培 育 公民 的 自主 意识 和 自律 
意识 ， 提 高 网 民 参 政 议政 的 热情 ， 使 公民 在 法 定 范围 内 合理 地 表达 自己 的 利益 诉求 。 


思考 


岗 


1. 网 络 铺 情 收集 可 以 从 哪些 渠道 进行 ? 
2. 实 施 网 络 与 情 分 析 应 遵循 什么 样 的 原则 ? 


3. 当 前 我 国 在 网 络 熏 情 应 对 方面 存在 什么 不 足 ， 如 何 建立 更 加 完善 的 网 络 和 与 情 应 对 机 制 |? 


第 8 章 ”信息 安全 工程 基础 


阅读 提示 “信息 安全 工程 能 力 是 实现 信息 安全 的 重要 保障 要 素 之 一 。 本 章 主要 介绍 信息 安全 工程 的 重要 性 、 理 论 基 础 和 工程 


实施 方法 等 方面 的 内 容 ， 以 期 读者 能 够 理解 信息 安全 工程 的 基本 原则 ; 掌握 实施 信息 安全 工程 的 阶段 划分 方法 及 每 一 阶段 的 主要 


活动 ; 理解 信息 安全 工程 监理 的 意义 、 各 阶段 的 监理 目标 和 各 方 职责 ; 能 够 基于 ISSE 的 方法 来 实施 信息 系统 建设 工程 ， 能 够 通 
过 在 工程 中 引入 监理 的 角色 来 确保 工程 过 程 各 阶段 的 安全 活动 都 已 实施 ， 向 信息 系统 建设 和 使 用 组 织 交 付 安 全 性 有 保障 的 信息 系 


统 。 


8.1 ”信息 安全 工程 概述 


信息 安全 工程 是 信息 安全 保障 的 重要 组 成 部 分 ， 不 可 或 缺 。 国 家 对 信息 安全 建设 非常 重视 ，《 国 家 信息 化 领导 小 组 天 于 加 强 
信息 安全 保障 工作 的 意见 》 (中 办 发 [2003]27 号 ) 明确 要 求 ，“ 信 息 安全 建设 是 信息 化 的 有 机 组 成 部 分 ， 必 须 与 信息 化 同步 规 
划 、 同 步 建 设 。 各 地 区 各 部 门 在 信息 化 建设 中 ， 要 同步 考虑 信息 安全 建设 ， 保 证 信息 安全 设施 的 运行 维护 费用 。” 国家 发 展 和 改 
革 委 员 会 (以 下 简称 “发 改 委 ”) 发 布 的 《关于 加 强国 家 电子 政务 工程 建设 项 目 信息 安全 风险 评估 工作 的 通知 》 要 求 ， 电 子 政 务 
工程 建设 项 目 必 须 同步 考虑 安全 问题 ， 提 供 安 全 专项 资金 ， 信 息 安全 风险 评估 结论 是 项 目 验 收 的 重要 依据 。 


但 是 长 期 以 来 ， 在 信息 化 建设 过 程 中 ， 信 息 安全 建设 被 广泛 忽视 。“ 重 功能 、 轻 安全 ”，“ 先 建设 、 后 安全 ”的 现象 一 直 存 
在 。 没 有 实施 安全 建设 的 信息 系统 是 在 “走钢丝 ”， 一 旦 出 现 问题 ， 后 果 会 非常 严重 。 信 息 安全 工程 就 是 要 解决 信息 系统 建设 生 
命 周 期 的 “过 程 安 全 ”问题 。 


8.1.1 ”信息 安全 工程 概念 


随 着 人 类 文明 的 发 展 ， 人 们 可 以 建造 出 比 单一 产品 更 大 、 更 复杂 的 产品 ， 这 些 产 品 不 再 是 结构 或 功能 单一 的 东西 ， 而 是 各 种 
各 样 的 所 谓 “人 造 系统 ”， 例 如 建筑 物 、 轮 船 、 铁 路 、《 习 机 等 。 于 是 ， 工 程 的 概念 产生 了 ， 并 且 逐 渐 发 展 成 为 一 门 独立 的 学 科 和 
技艺 。 在 现代 社会 中 ，“ 工 程 ”一 词 有 广义 和 狭义 之 分 。 就 狭义 而 言 ， 工 程 是 指 以 某 种 设想 的 目标 为 依据 ， 应 用 有 关 的 科学 知识 
和 技术 手段 ， 通 过 一 群 人 的 有 组 织 活 动 ， 将 某 个 或 某 些 现 有 实体 转化 为 具有 预期 使 用 价值 的 人 造 产品 的 过 程 。 就 广义 而 言 ， 工 程 
指 由 一 群 人 为 达到 某 种 目的 ， 在 一 个 较 长 时 间 周 期 内 进行 协作 活动 的 过 程 。 


信息 安全 工程 ， 是 采用 工程 的 概念 、 原 理 、 技 术 和 方法 ， 研 究 、 开 发 、 实 施 与 维护 信息 系统 安全 的 过 程 。 信 息 安全 工程 活动 
需要 与 其 他 各 种 不 同类 型 的 外 部 组 织 进 行 协调 。 由 于 信息 化 工程 整个 生命 周期 都 需要 信息 安全 工程 活动 ， 因 此 信息 安全 工程 活动 
同 许多 其 他 工程 都 存在 着 某 种 关系 ， 如 系统 工程 、 软 件 工 程 、 人 力 资源 工程 、 通 信 工 程 、 硬 件 工程 和 测试 工程 等 ， 与 这 些 工程 之 
间 都 存在 着 接口 ， 并 与 这 些 工程 的 活动 相互 影响 ， 所 以 信息 安全 工程 与 其 他 工程 相 比 更 加 复杂 。 





信息 安全 工程 作为 工程 学 科 的 一 个 新 的 类 别 ， 其 主要 目标 包括 获得 对 组 织 信息 安全 风险 的 理解 ， 根 据 已 识别 的 风险 建立 一 组 
平衡 的 信息 安全 需求 ， 将 信息 安全 需求 转换 成 信息 安全 的 指导 原则 ， 并 在 项 目 实施 的 其 他 学 科 活 动 和 系统 配置 以 及 运行 中 贯彻 这 
些 原则 ， 通 过 正确 有 效 的 安全 机 制 建立 信心 和 保证 ， 判 断 系统 残余 安全 风险 对 运行 的 影响 是 否 可 容忍 ， 将 所 有 学 科 和 专业 活动 集 
成 为 一 个 共同 理解 的 安全 可 信 系 统 。 


8.1.2 ”信息 安全 工程 理论 基础 


信息 安全 工程 是 一 门 综合 学 科 、 交 叉 学 科 ， 是 基于 系统 工程 思想 、 项 目 管理 方法 、 质 量 管理 体系 和 能 力 成 熟 度 模型 


(Capability Maturity Model，CMM) 等 理论 发 展 起 来 的 。 
1. 系 统 工程 思想 


系统 工程 (Systems Engineering，SE) 是 20 世 纪 中 期 兴起 的 一 门 新 兴 的 交叉 学 科 ， 是 以 大 型 复杂 系统 为 研究 对 象 ， 按 一 
定 目的 进行 设计 、 开 发 、 管 理 与 控制 ， 以 期 达到 总 体 效果 最 优 的 理论 与 方法 。 


系统 工程 与 其 他 工程 不 同 点 在 于 它 是 跨越 许多 学 科 的 科学 ， 而 且 是 填补 这 些 学 科 边 界 空白 的 一 种 边缘 科学 。 因 为 系统 工程 的 
目的 是 研制 系统 ， 而 系统 不 仅 涉 及 工程 学 的 领域 ， 还 涉及 社会 、 经 济 和 政治 等 领域 ， 为 了 适当 解决 这 些 领 域 的 问题 ， 除 了 需要 某 
些 纵向 技术 以 外 ， 还 要 有 一 种 技术 从 横 的 方向 把 它们 组 织 起 来 ， 这 种 横向 技术 就 是 系统 工程 。 


系统 工程 的 主要 任务 是 根据 总 体 协 调 的 需要 ， 把 自然 科学 和 社会 科学 中 的 基础 思想 、 理 论 、 策 略 和 方法 等 从 横 的 方面 联系 起 
来 ， 应 用 现代 数学 和 电子 计算 机 等 工具 ， 对 系统 的 构成 要 素 、 组 织 结构 、 信 息 交 换 和 自动 控制 等 功能 进行 分 析 研究 ， 以 达到 最 优 
化 设计 、 最 优 控制 和 最 优 管理 的 目标 。 系 统 工程 的 基本 方法 ， 是 系统 分 析 、 系 统 设计 和 系统 综合 评价 ， 评 价 包括 性 能 、 费 用 和 时 
间 等 方面 。 具 体 地 说 ， 就 是 用 数学 模型 和 逻辑 模型 来 描述 系统 ， 通 过 模拟 反映 系统 的 运行 ， 求 得 系统 的 最 优 组 合 方案 和 最 优 的 运 


行 方 案 。 


从 学 科 体 系 上 讲 ， 系 统 工程 不 属于 基本 理论 ， 也 不 属于 技术 基础 ， 它 所 研究 的 重点 是 方法 论 。 系 统 工程 方法 论 是 在 综合 应 用 
运筹 学 、 控 制 论 、 信 息 论 、 管 理科 学 、 心 理学 、 经 济 学 以 及 计算 机 科学 等 有 关 学 科 的 理论 和 方法 的 基础 上 形成 的 科学 思想 和 方 
法 。1969 年 美国 系统 工程 专家 霍 尔 (A:D:Hall) 利用 结构 分 析 法 提出 著名 的 霍 尔 三 维 结构 模型 ， 使 系统 工程 的 工作 阶段 和 步骤 更 
为 清晰 明了 。 


霍 尔 三 维 结构 模型 是 将 系统 工程 整个 活动 过 程 分 为 前 后 紧密 衔接 的 7 个 阶段 和 7 个 步骤 ， 同 时 还 考虑 了 为 完成 这 些 阶 段 和 步 
又 所 需要 的 各 种 专业 知识 和 技能 。 这 样 ， 就 形成 了 由 时 间 维 、 逻 辑 维和 知识 维 所 组 成 的 三 维 空间 结构 ， 如 图 8-1 所 示 。 其 中 ， 时 
间 维 表示 系统 工程 活动 从 开始 到 结束 按时 间 顺 序 排列 的 全 过 程 ， 分 为 规划 、 拟 订 方 案 、 研 制 、 生 产 、 安 装 、 运 行 和 更 新 7 个 时 间 
阶段 。 逻 辑 维 是 指 时 间 维 的 每 一 个 阶段 内 所 要 进行 的 工作 内 容 应 该 遵循 的 思维 程序 ， 包 括 明确 问题 、 确 定 目标 、 系 统 综合 、 系 统 
分 析 、 优 化 、 决 策 和 实施 7 个 逻辑 步骤 。 知 识 维 列举 需要 运用 包括 工程 、 医 学 、 建 筑 、 商 业 、 法 律 、 管 理 、 社 会 科学 和 艺术 等 各 
种 学 科 知 识 和 技能 。 霍 尔 三 维 结构 体系 形象 地 描述 了 系统 工程 研究 的 框架 ， 对 其 中 任 一 阶段 和 每 一 个 步骤 ， 又 可 进一步 展开 ， 形 
成 了 分 层次 的 树 状 体 系 。 
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图 8-1 霍 尔 三 维 结构 模型 


项 目 管理 方法 


项 目 是 为 提供 某 项 独特 的 产品 、 服 务 或 成 果 所 进行 的 临时 的 一 次 性 努力 ， 是 用 有 限 的 资源 、 有 限 的 时 间 为 特定 客户 完成 特定 
目标 的 一 次 性 工作 。 因 此 ， 项 目 需要 有 一 个 明确 的 目标 或 目的 ， 必 须 在 特定 的 时 间 、 预 算 和 资源 限定 内 ， 依 据 规 范 完 成 。 


项 目 涉 及 的 全 部 工作 进行 有 效 管理 。 项 目 管理 需要 从 项 目 投资 决策 开始 到 项 目 结束 的 全 过 程 进行 规划 、 组 织 、 指 挥 、 协 调 、 控 制 
和 评价 ， 以 实现 项 目的 目标 。 


项 目 管理 技术 是 在 20 世 纪 50 年 代 出 现 的 关键 路 径 法 (Critical Path Method，CPM) 和 计划 评价 和 评审 技术 (Program 
Evaluation and Review Technique，PERT) 的 基础 上 发 展 起 来 的 。 它 融合 了 后 来 发 展 起 来 的 工作 分 解 结构 (Work 
Breakdown Structure，WBS) 、 蒙 特 卡 罗 (Monte Carlo) 模拟 技术 和 挣 值 (Earned Value，EV) 分 析 技 术 ， 形 成 了 一 门 关 
于 项 目 资金 、 时 间 和 人 力 等 资源 控制 的 管理 科学 ， 涉 及 项 目 范围 、 时 间 、 成 本 、 质 量 、 人 力 资源 、 沟 通 、 风 险 、 采 购 和 集成 9 个 


知识 领域 。 


项 目 范围 管理 ， 是 为 了 实现 项 目 目 标 ， 对 项 目 工作 内 容 进 行 控制 的 管理 过 程 。 它 包括 范围 界定 、 范 围 规 划 和 范围 调整 等 ， 项 
目 时 间 管 理 ， 是 为 了 确保 项 目 最 终 能 按时 完成 的 一 系列 管理 过 程 。 它 包括 具体 活动 界定 、 活 动 排序 、 时 间 估 计 、 进 度 安排 及 时 间 
控制 等 工作 ; 项目 成 本 管理 ， 是 为 了 保证 完成 项 目的 实际 成 本 、 费 用 不 超过 预算 成 本 、 费 用 的 管理 过 程 。 它 包括 资源 配置 ， 成 
本 、 费 用 预算 以 及 费用 控制 等 工作 ; 项 目 质量 管理 ， 是 为 了 确保 项 目 达到 客户 所 规定 的 质量 要 求 所 实施 的 一 系列 管理 过 程 。 它 包 
括 质 量规 划 、 质 量 控制 和 质量 保证 等 ; 项目 人 力 资 源 管 理 ， 是 为 了 保证 所 有 与 项 目 有 关系 的 人 的 能 力 和 积极 性 都 得 到 最 有 效 发 挥 
和 利用 所 做 的 一 系列 管理 措施 。 它 包括 组 织 规 划 、 团 队 建设 、 人 员 选 聘 和 项 目 班子 建设 等 一 系列 工作 ; 项 目 沟通 管理 ， 是 为 了 确 
保 项 目 信 息 的 合理 收集 和 传输 所 需要 实施 的 一 系列 措施 。 它 包括 沟通 规划 、 信 息 传 输 和 进度 报告 等 ; 项 目 风险 管理 ， 涉 及 项 目 可 
能 遇 到 的 各 种 不 确定 因素 。 它 包括 风险 识别 、 风 险 量化 、 制 定 对 策 和 风险 控制 等 ; 项 目 采购 管理 ， 是 为 了 从 项 目 实施 组 织 之 外 获 
得 所 需 资源 或 服务 所 采取 的 一 系列 管理 措施 。 它 包括 采购 计划 、 采 购 与 征购 、 资 源 选 择 以 及 合同 管理 等 工作 ; 项 目 集成 管理 ， 是 
指 为 确保 项 目 各 项 工作 能 够 有 机 地 协调 和 配合 所 展开 的 综合 性 和 全 局 性 的 项 目 管理 工作 和 过 程 。 它 包括 项 目 集成 计划 制定 、 项 目 
集成 计划 实施 和 项 目 变动 总 体 控制 等 工作 。 


在 项 目 管理 中 ， 强 调 过 程 管理 。 通 过 在 项 目的 整个 生命 周期 中 对 以 上 9 个 领域 相关 活动 的 过 程 进行 管理 ， 能 够 大 大 提高 项 目 
取得 成 功 的 可 能 性 。 


项 目 管理 所 使 用 的 技术 其 实 都 来 源 于 系统 工程 的 最 优化 思想 ， 只 不 过 这 些 技术 是 应 用 在 项 目的 各 个 方面 ， 以 保证 项 目的 最 优 
化 运行 。 可 以 说 ， 项 目 管 理 是 系统 工程 思想 针对 具体 项 目的 实践 应 用 。 


3. 质 量 管理 体系 


质量 是 产品 的 主要 衡量 标准 ， 质 量 的 好 坏 直 接 影 响 到 企业 的 产品 在 市 场 上 的 竞争 力 。 质 量 的 内 容 十 分 丰富 ， 并 随 着 社会 经 济 
和 科学 技术 的 发 展 而 不 断 充 实 、 完 善 和 深化 。 同 样 ， 人 们 对 质量 概念 的 认识 也 经 历 了 一 个 不 断 发 展 和 深化 的 过 程 。 如 今 ，ISO 
9000 标 准 定义 : 质量 ， 是 一 组 固有 特性 满足 要 求 的 程度 。 质 量 ， 指 产品 或 服务 满足 规定 或 需要 的 特征 。 其 中 ， 产 品 既 包括 有 形 
产品 也 包括 无 形 产 品 。 质 量 既 包括 产品 内 在 的 特性 ， 也 包括 产品 外 在 的 特性 ， 即 包括 了 产品 的 适用 性 和 符合 性 的 全 部 内 涵 。 可 以 
说 ,质量 是 组 织 的 生命 。 所 以 ， 组 织 必须 对 质量 进行 控制 和 管理 。 


质量 控制 (Quality Control，QC) ， 是 质量 管理 的 一 部 分 ， 聚 焦 于 满足 质量 需求 。 质 量 控制 是 对 生产 的 全 部 过 程 加 以 控 
制 ， 是 面 的 控制 ， 不 是 点 的 控制 。 为 保证 产品 过 程 或 服务 质量 ， 必 须 进行 一 系列 的 技术 、 组 织 和 管理 等 有 关 活 动 ， 这 些 都 属于 质 
量 控制 的 范畴 。 


质量 管理 (Quality Management，QM) ， 是 与 指挥 和 控制 一 个 组 织 质量 相关 的 一 系列 相互 协调 的 活动 ， 是 为 了 实现 质量 
目标 而 进行 的 所 有 管理 性 质 的 活动 。 在 质量 方面 的 指挥 和 控制 活动 ， 通 常 包 括 制定 质量 方针 和 质量 目标 以 及 质量 策划 、 质 量 控 
制 、 质 量 保证 和 质量 改进 。 实 现 质量 管理 的 方针 目标 ， 有 效 开展 各 项 质量 管理 活动 ， 必 须 建立 相应 的 管理 体系 ， 这 个 体系 就 叫 质 
量 管 理 体系 。 


质量 管理 体系 (Quality Management Systems，QMS) ， 是 与 指挥 和 控制 一 个 组 织 质量 相关 的 管理 体系 ， 是 组 织 内 部 建 
立 的 、 为 实现 质量 目标 所 必需 的 、 系 统 的 质量 管理 模式 。 实 施 QMS 是 组 织 的 一 项 战略 决策 。QM S 将 资源 与 过 程 结 合 ， 以 过 程 管 
理 方法 进行 系统 的 管理 ， 根 据 组 织 特点 选用 若干 体系 要 素 加 以 组 合 ， 一 般 包括 与 管理 活动 、 资 源 提供 、 产 品 实现 以 及 测量 、 分 析 
与 改进 活动 相关 的 过 程 。 这 些 过 程 规 范 了 从 确定 客户 需求 、 设 计 研 制 、 和 生产、 检验 到 销售 的 全 过 程 的 策划 、 实 施 、 监 控 、 纠 正 与 
改进 活动 。 组 织 在 实施 QMS 的 时 候 ， 一 般 以 文件 化 的 方式 规范 这 些 活动 过 程 ， 成 为 组 织 内 部 质量 管理 工作 的 要 求 。 


国际 标准 化 组 织 的 质量 管理 和 质量 保证 技术 委员 会 制定 了 ISO 9000 系 列 标准 ， 以 适用 于 不 同类 型 、 产 品 、 规 模 与 性 质 的 组 
织 。1SO 9000 系 列 标准 并 不 是 产品 的 技术 标准 ， 而 是 针对 组 织 的 管理 结构 、 人 员 、 技 术 能 力 、 各 项 规章 制度 、 技 术 文件 和 内 部 


监督 机 制 等 一 系列 体现 组 织 保证 产品 及 服务 质量 的 管理 措施 的 标准 。 
4 能力 成 熟 度 模型 


能 力 成 熟 度 模型 是 一 种 衡量 工程 实施 能 力 的 方法 ， 是 一 种 面向 工程 过 程 的 方法 。CMM 是 建立 在 统计 过 程控 制 理 论 基础 上 
的 ， 它 基于 这 样 一 个 假设 ， 即 “生产 过 程 的 高 质量 和 在 过 程 中 组 织 实 施 的 成 熟 性 可 以 低 成 本 地 生产 出 高 质量 产品 ”。 这 种 理论 强 
调 了 生产 的 整个 过 程 ， 过 程 中 如 果 高 质量 ， 结 果 通 常 是 好 的 ， 事 实 也 是 这 样 的 。 据 统计 ， 所 有 成 功 企 业 的 共同 特点 是 都 具有 一 组 
严格 定义 、 管 理 完善 、 可 测 可 控 的 高 度 有 效 的 业务 过 程 。 


能 力 成 熟 度 是 指 一 个 具体 的 工程 过 程 被 明确 地 定义 、 管 理 、 评 价 、 控 制 和 产生 实效 的 程度 。 所 谓 成 熟 度 包含 着 能 力 的 一 种 增 
长 潜力 ， 同 时 也 表明 了 组 织 实施 工程 过 程 的 实际 水 平 。 随 着 组 织 工程 过 程 能 力 成 熟 度 的 不 断 提 高 ， 组 织 内 部 通过 对 过 程 的 规范 化 
和 对 成 员 的 技术 培训 ， 工 程 过 程 也 将 会 被 它 的 实施 者 天 注 和 不 断 修改 完善 ， 从 而 使 工程 质量 、 生 产 效 率 和 生产 周期 得 到 改善 。 
CMM 模 型 就 是 抽取 了 这 样 一 组 好 的 工程 实践 过 程 并 定义 了 过 程 的 “能 力 ”。CMM 提 供 一 个 框架 ， 用 于 将 一 个 工程 组 织 从 一 个 
特定 的 、 组 织 不 善 、 效 率 不 高 的 状态 转化 成 高 度 结构 化 且 高 效 的 状态 ， 有 助 于 组 织 建立 一 个 有 规律 的 、 成 熟 的 生产 过 程 。 改 进 的 
过 程 将 会 生产 出 质量 更 好 的 产品 ， 同 时 避免 产品 项 目 时 间 的 延迟 和 费用 的 超支 。 


注意 ”过程 的 改善 不 可 能 在 一 夜 之 间 完 成 ，CMM 是 以 增 量 方式 逐步 引入 变化 的 。 


CMM 明 确 地 定义 了 5 个 不 同 的 “成 熟 度 ”等 级 ， 如 图 8-2 所 示 。 工 程 实施 组 织 的 能 力 成 熟 度 等 级 越 高 ， 系 统 的 风险 越 低 。 一 
个 组 织 可 按 一 系列 小 的 改进 向 更 高 的 成 熟 度 等 级 前 进 。CM M 为 工程 的 过 程 能 力 提 供 了 一 个 阶梯 式 的 改进 框架 ， 它 基于 以 往 工程 
的 经 验 教训 ， 提 供 了 一 个 基于 过 程 改进 的 框 染 图 ， 指 出 一 个 组 织 在 开发 方面 主要 需要 哪些 工作 ， 这 些 工作 之 间 的 关系 ， 以 及 开展 
工作 的 先后 顺序 ， 一 步 一 步 地 做 好 这 些 工作 而 使 组 织 走向 成 熟 。 
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图 8-2 CMM “成 熟 度 ”等 级 


CMM 的 基本 思想 是 ， 因 为 问题 是 由 管理 生产 过 程 的 方法 引起 的 ， 所 以 新 技术 的 运用 不 会 自动 提高 质量 、 生 产 率 和 利润 率 ， 
必须 通过 改进 管理 生产 过 程 的 方法 来 提高 质量 、 生 产 率 和 利润 率 。CMM 的 思想 来 源 于 已 有 多 年 历史 的 项 目 管理 和 质量 管理 ， 自 
产生 以 来 几经 修订 ， 如 今 已 经 成 为 具有 广泛 影响 的 模型 。CM M 广 泛 应 用 于 各 领域 的 工程 过 程 改 进 ， 如 在 软件 工程 领域 有 软件 能 
力 成 熟 度 模型 (Capability Maturity Model for SoftWare，SW-CMM) ， 在 传统 制造 业 领域 有 系统 工程 能 力 成 熟 度 模 型 


(Systems Engineering Capability Maturity Model，SE-CMM) ， 在 安全 工程 领域 有 系统 安全 工程 能 力 成 熟 度 模 型 和 系统 安 
全 工程 能 力 成 熟 度 模 型 评估 方法 (SSE-CMM Appraisal Method，SSAM) 等 


8. 2 信息 安全 工程 实 实施 


信息 安全 工程 在 实际 实施 的 过 程 中 ， 需 要 一 种 方法 ， 以 有 效 完成 工程 各 个 阶段 所 需 进 行 的 信息 安全 相关 活动 。 信 息 系统 安全 
工程 是 美国 军 方 在 20 世 纪 90 年 代 初 发 布 的 信息 安全 工程 方法 ， 其 从 信息 系统 工程 生命 周期 的 全 程 考虑 安全 性 ， 以 确保 最 终 交 付 
的 工程 的 安全 性 。1SSE 是 SE 在 安全 空间 的 映射 ， 其 重点 是 通过 实施 系统 工程 过 程 来 满足 信息 保护 的 需求 。 


SE 生 命 周期 一 般 包括 发 掘 客户 需求 、 定 义 系统 要 求 、 设 计 系 统 体系 结构 、 开 发 详细 设计 和 实现 系统 5 个 阶段 过 程 ， 每 个 阶段 
都 需要 进行 评估 有 效 性 方面 的 活动 ， 这 些 过 程 和 活动 之 间 的 依赖 关系 如 图 8-3 所 示 。 图 中 的 箭头 显示 了 各 活动 之 间 的 信息 流 。 在 
系统 工程 的 全 生命 周期 中 ， 系 统 工程 师 和 信息 系统 安全 工程 师 与 用 户 / 用 户 代表 之 间 始 终 人 存在 持续 交互 和 反馈 过 程 。 


用 户 / 用户 代表 
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图 8-3 ”系统 工程 (SE) 的 一 般 过 程 


ISSE 定 义 在 SE 过 程 的 基础 上 ， 将 信息 安全 系统 集成 在 信息 系统 工程 实施 的 全 生命 周期 过 程 中 ， 使 信息 安全 系统 成 为 SE 的 有 
机 组 成 部 分 并 具有 可 实现 性 和 效力 ， 从 而 实现 用 户 目 标 ， 满 足 用 户 需求 。1SSE 不 是 一 个 独立 的 过 程 ， 它 依赖 并 支持 SE 过 程 ， 将 


信息 安全 工程 和 其 他 学 科 的 技术 问题 结合 起 来 ， 以 获得 最 优 的 信息 安全 系统 解决 方案 。 


为 确保 信息 保护 能 被 平滑 地 纳入 整个 系统 ， 必 须 在 最 初 进行 SE 设 计时 便 考虑 ISSE， 并 在 SE 的 每 一 阶段 都 要 运用 |SSE 过 程 。 
对 应 于 SE 的 一 般 过 程 ，ISSE 将 实施 过 程 划分 为 发 掘 信息 保护 需求 、 定 义 信 息 系统 安全 要 求 、 设 计 系统 安全 体系 结构 、 开 发 详细 
安全 设计 和 实现 系统 安全 5 个 阶段 过 程 ; 贯穿 于 这 5 个 阶段 过 程 始 终 的 ， 是 评估 信息 保护 的 有 效 性 方面 的 活动 ， 以 及 可 能 需要 的 
支持 认证 /认可 的 活动 ， 如 图 8-4 所 示 。 
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图 8-4 信息 系统 安全 工程 实施 过 程 


8.2.1 友 掘 信息 保护 需求 


建设 信息 系统 ， 如 果 不 清楚 “客户 期 望 系统 做 什么 ”， 就 会 导致 建造 出 错误 的 系统 。 系 统 工程 师 要 发 掘 出 客户 的 基本 需求 ， 
即 客户 要 求 系统 “做 什么 ”， 而 不 是 “如 何 做 ”。 基 于 IlSSE， 信 息 系 统 安全 工程 师 首先 要 发 掘 出 客户 所 拥有 的 系统 需要 “解决 什 


么 安全 问题 ， 提 供 什 么 安全 服务 ” ， 而 不 是 “如 何 解决 ， 如 何 提供 ”。 


因此 ，SE 活 动 的 第 一 步 是 “发 掘 客户 需求 ”， 相 应 的 |SSE 过 程 中 第 一 项 活动 为 “发 掘 信息 保护 需求 ”。 此 项 活动 需要 完成 
以 下 主要 工作 。 


(1) 分 析 组 织 的 使 命 和 业务 


信息 安全 工程 的 最 终 目标 是 保证 组 织 业 务 的 正常 运行 和 组 织 使 命 的 实现 ， 所 以 “发 气 信 息 保护 需求 ”， 首 先 需 要 理解 客户 的 
使 命 和 业务 。 信 息 系统 安全 工程 师 通 过 充分 与 客户 进行 沟通 和 交流 ， 分 析 并 理解 组 织 的 使 命 和 业务 。 基 于 这 一 理解 ， 确 定 组 织 的 
使 命 和 业务 与 各 种 信息 之 间 的 依赖 天 系 ， 并 确定 对 各 种 信息 的 依赖 程度 即 信息 的 重要 性 ， 这 直接 决定 了 各 种 信息 所 需 的 保护 强 
度 。 


(2) 评估 信息 安全 风险 

评估 信息 安全 风险 是 发 掘 信息 保护 需求 的 重要 手段 。 应 在 识别 适用 的 法 律 、 法 规 和 合同 条 款 等 符合 性 要 求 的 基础 上 ， 评 估 组 
织 业务 运营 所 面临 的 信息 安全 风险 。 

(3) 识别 安全 服务 、 安 全 管理 角色 及 职责 以 及 设计 约束 

基于 组 织 的 使 命 和 业务 、 已 识别 的 符合 性 要 求 和 信息 安全 风险 ， 识 别 系统 应 解决 的 安全 问题 ， 以 确定 系统 应 提供 的 安全 服 


务 。 常 见 的 安全 服务 包括 鉴别 服务 、 访 问 控制 、 数 据 保 密 性 、 数 据 完 整 性 及 抗 抵赖 。 识 别 系统 所 需要 的 安全 管理 角色 ， 并 确定 各 
个 角色 的 职责 、 权 限 及 适用 的 规则 。 识 别 并 记录 系统 的 设计 约束 ， 在 整个 ISSE 过 程 中 跟踪 这 些 约束 。 


言 息 系 统 安全 工程 师 基于 以 上 活动 的 结果 ， 将 信息 保护 需求 书面 化 ， 作 为 系统 整体 需求 的 一 部 分 。 编 写 信 息 保 护 需 求 时 应 使 
用 客户 能 理解 的 语言 ， 站 在 客户 的 角度 ， 描 述 信息 保护 方面 的 具体 需求 。 信 息 保护 需求 是 后 续 所 有 工程 活动 的 基础 ， 也 是 评估 信 
息 保护 有 效 性 的 基础 。 因 此 ， 客 户 对 信息 保护 需求 的 认同 至 关 重 要 。 


8.2.2 ”定义 信息 系统 安全 要 求 


这 项 活动 与 SE 中 的 “定义 系统 要 求 ”相对 应 。 上 一 阶段 发 掘 的 需求 是 客户 的 具体 的 信息 保护 需求 ， 而 “定义 信息 系统 安全 
要 求 ”， 则 是 将 客户 的 具体 需求 抽象 化 ， 将 客户 的 具体 需求 转化 为 系统 的 抽象 需求 。 在 此 阶段 ， 信 息 系 统 安 全 工程 师 要 考虑 一 套 
或 多 套 并 最 终 确 定 一 套 解决 方案 集 。 解 决 方案 集 的 框架 原理 图 如 图 8-5 所 示 ， 从 图 中 可 以 看 出 ， 信 息 保护 需求 的 实现 不 一 定 要 全 
部 分 配 到 目标 系统 中 ， 还 可 以 将 其 中 的 一 部 分 分 配给 外 部 系统 。 例 如 ，PKI 便 是 典型 的 外 部 系统 。 





i 


图 8-5 ”将 需求 分 配 到 解决 方案 集中 
定义 信息 系统 安全 要 求 需要 通过 以 下 活动 来 实现 。 


(1) 定义 系统 安全 背景 环境 
在 确定 系统 的 安全 背景 环境 时 ， 首 先 定 义 目标 系统 的 边界 ， 以 及 目标 系统 与 其 他 系统 之 间 的 接口 ， 其 次 将 所 有 安全 功能 分 配 


月 吕 


给 目标 系统 和 外 部 系统 ; 最 后 识别 出 目标 系统 和 外 部 系统 之 间 的 数据 流 、 数 据 流 的 控制 方式 以 及 数据 流 的 保护 需求 。 


(2) 定义 安全 操作 概念 
定义 初步 的 安全 操作 概念 ， 从 用 户 的 角度 描述 实现 组 织 使 命 所 需 的 信息 管理 和 信息 保护 功能 ， 并 说 明 对 其 他 系统 以 及 由 这 些 
系统 交付 的 产品 和 服务 的 依赖 性 。 
(3) 定义 系统 安全 要 求 基线 


定义 系统 安全 要 求 基线 包括 定义 系统 安全 要 求 、 定 义 系 统 安全 运行 模式 和 定义 系统 安全 性 能 测量 指标 3 方面 内 容 。 系 统 安全 
要 求 中 应 该 规定 出 系统 必须 完成 的 事情 ， 而 不 是 去 设计 和 实现 系统 。 性 能 指标 是 要 明确 诸如 数量 、 质 量 、 覆 盖 面 和 可 用 性 等 方面 
的 要 求 。 此 外 ， 设 计 约束 也 要 成 为 系统 安全 要 求 文档 的 一 部 分 。 系 统 安全 要 求 在 获得 批准 后 作为 设计 者 进行 系统 开发 的 基线 。 


8.2.3 ”设计 系统 安全 体系 结构 


在 SE 的 “定义 系统 要 求 ”活动 中 ， 系 统 要 求 被 分 配 到 整个 信息 系统 中 ， 它 只 是 指明 了 系统 的 功能 ， 却 没有 定义 系统 的 组 


件 。 而 在 “设计 系统 体系 结构 ”活动 中 ， 系 统 工程 小 组 对 功能 进行 分 解 ， 选 择 具 体 功 能 的 执行 组 件 ， 这 是 体系 结构 设计 的 核心 内 
容 。 图 8-6 描 述 了 “定义 系统 要 求 ”与 “设计 系统 体系 结构 ”的 区 别 。 前 者 将 目标 系统 视 为 黑 盒 ”， 后 者 则 创建 系统 的 内 部 结 
构 。 同 样 的 ， 这 些 活动 也 发 生 在 1SSE 的 相应 阶段 “定义 系统 安全 要 求 ” 与 “设计 系统 安全 体系 结构 ”中 。 


内 部 接口 





图 8-6 “定义 系统 要 求 ”与 “设计 系统 体系 结构 ”的 区 别 

此 阶段 的 主要 工作 是 完成 安全 功能 的 分 析 和 分 配 ， 通 过 以 下 活动 来 实现 。 

(1) 设计 并 分 析 系 统 安全 体系 结构 

设计 一 个 或 多 个 候选 的 系统 安全 体系 结构 以 满足 系统 安全 要 求 ， 并 对 安全 体系 结构 进行 功能 分 析 。 功 能 分 析 将 把 定义 阶段 所 
确定 的 高 层 功 能 分 解 成 低层 功能 ， 并 将 与 高 层 功能 相关 的 性 能 要 求 也 分 解 至 低层 。 分 析 的 对 象 包括 候选 系统 的 体系 结构 、 功 能 和 
过 程 、 内 部 和 外 部 接口 、 元 素 (组 件 ) 、 信 息 流动 情况 、 环 境 和 访问 的 用 户 。 

(2) 向 体系 结构 分 配 安全 服务 

信息 系统 安全 工程 师 负责 向 候选 系统 的 体系 结构 和 外 部 系统 分 配 安全 服务 /要 求 ， 并 确保 外 部 系统 支持 这 些 安全 要 求 。 例 
密 安全 服务 分 配给 外 部 系统 。 
(3) 选择 安全 机 制 类 别 


言 息 系 统 安全 工程 师 还 要 在 设计 体系 结构 阶段 确定 高 层 安全 机 制 ， 如 加 密 和 数字 签名 等 ， 将 安全 机 制 与 安全 服务 所 需 的 强度 
进行 匹配 ， 并 落实 设计 中 的 约束 条 件 ; 分 析 安 全 机 制 间 的 依赖 性 ， 如 密 钥 管理 和 加 密 ， 确 定安 全 机 制 的 可 行 性 ， 并 评估 安全 机 制 
中 存在 的 残余 风险 。 


组 建 专家 小 组 或 专家 评审 委员 会 对 所 有 候选 的 系统 安全 体系 结构 进行 评审 。 


8.2.4 ”开发 详细 安全 设计 


言 息 保护 的 设计 是 一 种 不 断 反复 的 过 程 ， 要 做 出 合理 的 设计 决策 ， 需 要 1SSE 工 程 组 不 断 实施 评估 ， 将 预期 风险 和 系统 安全 要 
求 相 比较 。 在 “开发 详细 的 安全 设计 ”阶段 ， 信 息 系 统 安全 工程 师 在 确保 遵循 安全 体系 结构 的 基础 上 开展 以 下 活动 。 


(1) 进行 均衡 取舍 研究 


基于 风险 分 析 的 结果 和 设计 约束 进行 均衡 取舍 研究 。 均 衡 取 舍 研 究 必 须 综合 考虑 优先 级 、 成 本 、 进 度 、 性 能 以 及 残余 安全 风 
险 等 方面 ， 以 决定 系统 所 需 的 安全 设计 元 素 。 


(2) 定义 系统 安全 设计 元 素 


基于 均衡 取舍 研究 的 结果 定义 系统 安全 设计 元 素 ， 并 完成 以 下 事项 。1) 向 系统 安全 设计 元 素 分 配 安 全 机 制 ， 包 括 技术 性 和 
非 技术 性 机 制 ， 如 管理 机 制 等 ;确定 所 期 望 的 安全 机 制 和 实际 有 效 的 安全 机 制 的 强度 是 否 一 致 或 相当 ， 评 审 所 选 安 全 服务 和 机 制 
能 否 对 抗 已 识别 的 威胁 。2) 识别 备 选 的 商用 或 政府 所 提供 的 现 有 安全 产品 ， 并 识别 需要 定制 的 安全 产品 。3) 检验 并 最 终 确定 
设计 元 素 和 系统 接口 ， 包 括 内 部 及 外 部 接口 。4) 制定 安全 规范 ， 如 编制 安全 编码 规范 等 。 


基于 以 上 工作 ,编制 详细 设计 文档 以 描述 系统 及 其 所 需 组 件 ， 但 不 指定 特定 组 件 或 供应 商 ; 记录 风险 评估 的 结果 、 降 低 风险 
的 需求 以 及 可 接受 的 残余 风险 ， 并 得 到 客户 的 认同 。 


8.2.5 ”实现 系统 安全 


“实现 系统 安全 ”的 目标 是 通过 获取 、 和 集成、 配置、 测试、 编制 文档 和 培训 等 方式 ， 使 系统 从 设计 转 入 运行 。 此 项 活动 结束 
是 ， 通 过 系统 的 有 效 性 评估 活动 ， 给 出 系统 满足 要 求 和 组 织 使 命 需 求 的 证 据 。 此 阶段 信息 系统 安全 工程 师 需 要 进行 以 下 活 


全 实现 和 集成 活动 中 ， 信 息 系 统 安全 工程 师 需要 做 以 下 事情 。1) 参与 实现 规划 ， 参 与 多 学 科 调查 研究 ， 选 择 需要 集成 
全 产品 ， 自 建 不 能 购买 的 组 件 。2) 参与 系统 实现 ， 跟 踪 信息 保护 机 制 在 系统 实现 活动 中 的 运用 ， 核 实 软件 、 硬 件 和 固 
件 的 安全 实现 是 否 符合 安全 设计 。3) 协助 组 件 的 集成 ， 确 保 组 件 在 集成 过 程 中 ， 在 满足 系统 安全 规范 的 同时 ， 不 改变 组 件 的 规 
范 。4) 协助 组 件 的 配置 ， 确 保 启 用 了 安全 特性 并 正确 配置 了 安全 参数 以 提供 所 需要 的 安全 服务 、 实 现 需要 的 功能 ， 并 对 组 织 所 
不 需要 的 功能 进行 了 限制 。 限 制 组 织 使 命 和 业务 不 需要 的 功能 。5) 确保 将 系统 和 组 件 配置 信息 编制 成 文档 ， 并 将 其 纳入 配置 管 
理 范围 。 

(2) 支持 测试 和 评估 

在 支持 测试 和 评估 活动 中 ， 信 息 系统 安全 工程 师 需 要 做 以 下 事情 。1) 建立 测试 和 评估 战略 。2) 支持 测试 和 评估 程序 的 开 
发 。 核 实 安全 组 件 的 评估 准则 能 够 度量 所 期 望 的 安全 水 平 ， 制 定 信息 安全 保护 相关 的 测试 计划 和 流程 ， 开 发 测试 系统 所 需 的 测试 
用 例 、 工 具 、 硬 件 和 软件 。3) 支持 测试 和 评估 活动 ， 参 与 保护 机 制 和 功能 的 测试 ， 在 测试 过 程 中 跟踪 并 应 用 信息 保护 机 制 ， 监 
视 安全 设计 是 否 正确 实现 。4) 评估 可 获得 的 内 部 和 外 部 测试 ， 持 续 实 施 风险 管理 。5) 确保 完成 并 交付 所 有 文档 ， 为 运行 、 维 
护 、 支 持 和 培训 等 过 程 提供 输入 。 

(3) 支持 安全 培训 


在 信息 系统 工程 交付 给 客户 运营 之 前 ， 需 要 对 系统 的 各 类 用 户 进 行 培训 。 培 训 对 象 包括 一 般 用 户 、 系 统管 理 员 、 系 统 审计 人 
员 和 信息 安全 审计 人 员 等 ， 有 时 还 应 包括 高 级 管理 层 。 信 息 系统 安全 工程 师 需要 参与 规划 有 针对 性 的 培训 活动 ， 并 参与 培训 实 


施 ， 确 保 各 类 用 户 能 正确 使 用 和 维护 系统 ， 避 免 因 操作 失误 而 引发 安全 事件 。 


8.2.6 ”评估 信息 保护 的 有 效 性 


“评估 信息 保护 的 有 效 性 ”活动 覆盖 了 整个 1SSE 过 程 。 因 此 ， 前 述 的 ISSE 的 每 一 阶段 均 涉及 此 事项 。 表 8-1 概 要 描述 了 ISSE 
各 阶段 所 包含 的 有 效 性 评估 任务 。 这 些 任务 应 伴随 着 1SSE 的 进展 与 前 述 各 阶段 其 他 活动 一 起 实施 。 


表 8-1 ISSE 活 动 中 评估 信息 保护 的 有 效 性 的 任务 


ISSE 活动 阶段 评估 信息 保护 的 有 效 性 的 任务 
e 呈现 系统 过 程 慨 貌 
e 概述 信息 模型 
发 据 信 息 保 护 需求 e 描述 组 织 使 命 或 业务 所 面临 的 安全 威胁 
e 建立 安全 服务 以 对 抗 威胁 ， 并 确定 这 些 安全 服务 对 客户 的 重要 程度 
e 获得 客户 对 本 阶段 活动 结论 的 认同 ， 并 将 其 作为 判断 系统 安全 有 效 性 的 基础 


e 确保 所 选择 的 解决 方案 集 满足 组 织 使 命 和 业务 的 安全 需求 
e 明确 系统 边界 
定义 信息 系统 安全 要 求 | 。 和 问 客 户 提供 并 展示 安全 背景 环境 、 安 全 操作 概念 以 及 系统 安全 要 求 ， 并 获得 客 
户 的 认同 
e 确保 客户 接受 预期 的 安全 风险 
开展 正式 的 风险 分 析 过 程 ， 实 施 风险 管理 
确保 所 选择 的 安全 机 制 能 够 提供 所 需 的 安全 服务 
问 客 户 解 释 安 全 体系 结构 是 如 何 满足 安全 要 求 的 
获得 客户 对 安全 体系 结构 的 认同 
e 对 所 选择 的 安全 服务 和 机 制 之 间 的 相互 依赖 关系 进行 分 析 ， 比 较 期 望 得 到 的 和 
实际 有 效 的 安全 机 制 的 强度 ， 评 审 所 选择 的 安全 服务 和 机 制 是 否 能 够 很 好 地 对 
抗 安全 威胁 ， 最终 确保 所 选 的 安全 机 制 能 够 提供 所 需 的 安全 服务 
开展 详细 的 安全 设计 e 问 客 户 解 释 安 全 设计 是 如 何 满足 安全 要 求 的 
e 一 旦 完成 设计 ， 风 险 评估 的 结果 ， 尤 其 是 风险 缓解 需求 和 残余 风险 ， 需 要 编制 
成 文件 ， 并 获得 客户 的 认同 
e 获得 客户 对 详细 安全 设计 的 认同 
e 监视 并 确保 安全 设计 被 正确 实现 
e 持续 实施 风险 分 析 ， 并 更 新 风险 评估 结果 
实现 系统 安全 e 制定 并 实施 风险 缓解 战略 .验证 系统 确实 能 够 抵御 识别 的 威胁 ， 确 保 系统 达到 
了 已 定义 的 安全 基线 
e 识别 残余 风险 可 能 对 组 织 使 命 和 业务 带 来 的 影响 、 向 客户 提供 建议 


设计 系统 安全 体系 结构 


8.2.7 ”支持 认证 和 认可 


有 些 系统 ， 出 于 监管 机 构 的 要 求 ， 或 出 于 组 织 自身 对 安全 的 要 求 ， 需 要 对 系统 进行 认证 或 /和 认可 。 此 种 情况 ， 需 要 整个 系 
统 工程 组 在 工程 实施 的 各 个 阶段 均 应 有 支持 认证 和 认可 的 相关 活动 ， 即 “支持 认证 和 认可 ”活动 也 是 跨越 整个 ISSE 过 程 的 。 表 8- 
2 概要 描述 了 1SSE 各 阶段 的 支持 认证 和 认可 的 相关 活动 。 这 些 活动 应 伴随 着 ISSE 的 进展 与 前 述 的 各 阶段 其 他 活动 一 起 实施 。 


表 8-2 ISSE 活 动 中 支持 认证 和 认可 的 活动 


ISSE 活动 阶段 支持 认证 和 认可 的 活动 
e 识别 指定 的 批准 机 构 /认可 机 构 
ee e 识别 适用 的 认证 机 构 
类 届 信 息 作 1 a - 3 
据 信息 保护 需 e 识别 适用 的 认证 和 认可 ， 了 解 获 取 认 证 和 认可 的 过 程 
e 确保 所 确定 的 信息 保护 需求 获得 认证 和 认可 机 构 认 同 


定义 信息 系统 安全 要 求 e 确保 系统 安全 背景 环境 、 操 作 概 念 和 要 求 获得 认证 和 认可 机 构 的 认同 
e 为 风险 分 析 准 备 并 提交 最 终 的 体系 结构 文档 

e 与 认证 和 认可 机 构 协 调 风 险 分 析 的 结果 

e 为 风险 分 析 准 备 并 提交 详细 设计 文档 

e 与 认证 和 认可 机 构 协 调 风 险 分 析 的 结果 

e 确保 已 经 完成 了 认证 和 认可 所 需要 的 全 部 文档 

e 当 认 证 和 认可 过 程 需要 时 ， 提 供 相 应 文档 


设计 系统 安全 体系 结构 
开展 详细 的 安全 设计 


实现 系统 安全 


8. 3 信息 安全 工程 监 生理 


工程 监理 ， 是 工程 实施 过 程 中 一 种 常见 的 保障 机 制 。 信 息 安全 工程 因 其 高 度 技术 性 、 高 度 复杂 性 和 高 度 重要 性 ， 需 要 有 监理 
的 角色 参与 进来 ， 以 确保 整个 信息 化 系统 建设 工程 的 安全 性 。 系 统 安全 是 组 织 使 命 实现 和 业务 运营 的 根基 ， 引 入 信息 安全 工程 监 
理 对 于 增加 安全 保障 是 非常 有 意义 的 ; 而 对 于 涉及 国家 安全 的 电子 政务 信息 系统 工程 ， 引 入 信息 安全 工程 监理 是 绝对 必要 的 。 


8.3.1 ”信息 安全 工程 监理 概述 


舍 息 系统 工程 监理 是 项 目 管理 的 形式 之 一 ， 建 设 单位 采取 外 包 方式 聘请 外 部 专业 机 构 协助 自身 进行 有 效 的 管理 ， 弥 补 自 身 在 
专业 管理 水 平 、 经 验 、 方 法 、 技 术 力 量 上 的 不 足 ， 改 善 与 系统 设计 方 、 开 发 方 、 集 成 商 、 实 施 方 和 技术 产品 供应 商 之 间 的 技术 沟 
通 ， 协 调处 理 相关 争议 ， 降 低 自身 在 项 目 管理 上 的 难度 ， 减 轻 项 目 管理 的 工作 量 ， 并 使 监理 单位 分 担 部 分 项 目 实施 和 管理 的 风 
险 。 信 息 系 统 工程 监理 是 社会 化 的 外 包 式 项 目 管理 咨询 服务 ， 是 信息 系统 工程 建设 中 社会 化 、 专 业 化 分 工 的 必然 产物 。 


信息 安全 工程 监理 是 信息 系统 工程 监理 的 重要 组 成 部 分 ， 涉 及 对 新 建 、 升 级 和 改造 的 信息 化 工程 过 程 中 各 阶段 的 信息 安全 相 
关 活 动 。 信 息 安全 工程 监理 不 是 一 个 纯粹 的 技术 问题 ， 也 不 是 一 个 简单 的 管理 问题 ， 而 是 同时 从 技术 和 管理 的 角度 ， 对 信息 系统 
安全 工程 的 实施 过 程 进行 控制 和 管理 ， 确 保 信息 系统 安全 策略 和 安全 技术 满足 用 户 需求 并 按照 设计 方案 保质 、 保 量 地 实施 ， 最 终 
提供 工程 监理 报告 ， 实 现 预 期 的 监理 目标 。 


信息 安全 工程 监理 普遍 适用 于 各 种 类 型 的 信息 化 工程 ， 包 括 通用 布 缆 系 统 工 程 、 电 子 设备 机 房 系统 工程 、 计 算 机 网 络 系统 工 
程 和 软件 工程 等 专业 工程 。 信 息 安 全 工程 监理 是 对 工程 中 的 安全 相关 活动 的 监理 


信息 安全 工程 监理 的 参考 模型 由 监理 咨询 支撑 要 素 、 控 制 和 管理 手段 、 监 理 咨询 阶段 过 程 3 部 分 组 成 ， 这 3 部 分 之 间 的 相互 
关系 如 图 8-7 所 示 。 信 息 安全 工程 监理 工作 建立 在 监理 咨询 支撑 要 素 的 基础 上 ， 通 过 适当 的 控制 和 管理 手段 ， 实 施 各 个 监理 咨询 
阶段 过 程 的 相应 监理 活动 ， 以 保证 信息 化 工程 的 建设 达到 预期 的 安全 目标 。 


监理 咨询 阶段 过 程 空 制 和 管理 手段 


“三 控制 、 两 管理 、 一 协调 ” 


| 监理 规划 监理 实施 细则 | 


监理 咨询 TS 
ID 上 十 5 az 下 四 
组 织 结构 质量 管理 





图 8-7 信息 安全 工程 监理 的 一 般 模 型 
1. 监 理 咨 询 支撑 要 素 


信息 安全 工程 监理 的 监理 咨询 支撑 要 素 包 括 监理 咨询 组 织 结构 、 监 理 咨 询 设施 、 信 息 安全 保障 专业 知识 、 质 量 管 理 、 标 准 规 
范 、 合 同 、 监 理 规划 和 监理 实施 细则 8 方面 的 内 容 。 其 中 ， 监 理 咨询 组 织 结构 、 监 理 咨 询 设施 、 信 息 安全 保障 专业 知识 和 质量 管 
理 是 开展 信息 安全 工程 监理 工作 的 必要 基础 ， 标 准 规范 是 与 信息 安全 监理 工作 相关 的 标准 等 规范 性 文件 ， 是 监理 机 构 开 展 监理 工 
作 的 规范 性 依据 ;合同 是 监理 机 构 进 行 监理 的 法 律 性 依据 ; 监理 规划 是 监理 机 构 实施 监理 工作 的 指导 性 文件 ; 监理 机 构 按 照 监理 
规划 中 规定 的 监理 工作 范围 、 内 容 、 制 度 和 方法 等 编制 监理 实施 细则 ， 依 据 监理 实施 细则 开展 具体 的 监理 工作 ， 实 现 监 理 目标 。 


(1) 监理 咨询 组 织 结构 


监理 机 构 针对 特定 信息 化 工程 项 目的 监理 团队 的 组 织 形式 和 规模 ， 应 根据 监理 合同 约定 的 工程 类 别 、 规 模 、 内 容 、 技 术 复 杂 
程度 、 实 施工 期 和 施工 环境 等 因素 确定 。 监 理 机 构 应 在 监理 合同 签订 后 ， 将 监理 团队 的 组 织 形式 、 人 员 构 成 及 对 总 监理 工程 师 的 
任命 书面 通知 委托 单位 ， 即 业主 单位 。 一 般 不 宜 更 换 总 监理 工程 师 ， 当 更 换 总 监理 工程 师 时 ， 应 征 得 业主 单位 的 同意 ， 并 书面 通 
知 业主 单位 。 监 理 人 员 一 般 包 括 : 总 监理 工程 师 、 总 监理 工程 师 代 表 ( 若 需 要 ) 、 信 息 安全 监理 工程 师 、 其 他 专业 监理 工程 师 
( 若 需 要 ) ; 监理 辅助 人 员 。 


(2) 监理 咨询 设施 


监理 机 构 应 根据 监理 工程 的 类 别 、 规 模 和 技术 复杂 度 等 因素 ， 按 监理 合同 的 约定 ， 配 备 满足 监理 工作 需要 的 设备 和 工具 等 设 
施 。 


(3) 信息 安全 保障 专业 知识 


监理 团队 成 员 ， 应 具备 在 监理 工程 项 目 中 承担 的 角色 所 要 求 的 相应 信息 安全 保障 专业 知识 。 信 息 安 全 保障 专业 知识 是 实现 监 
理 目标 的 核心 基础 要 素 之 一 。 


(4) 质量 管理 
监理 机 构 应 根据 与 信息 化 工程 监理 相关 的 法 律 、 法 规 和 标准 建立 相应 的 质量 管理 计划 ， 并 在 工程 监理 过 程 中 执行 。 
(5) 标准 规范 


监理 机 构 应 识别 现 有 适用 的 信息 化 工程 监理 相关 的 标准 与 规范 ， 并 在 工程 监理 过 程 中 遵循 标准 与 规范 。 根 据 所 监理 的 工程 的 
特点 ， 可 制定 针对 此 工程 的 监理 规范 。 


(6) 合同 


监理 合同 的 主要 内 容 应 包括 监理 工作 内 容 、 双 方 的 权利 和 义务 、 监 理 费 用 的 支付 、 违 约 责 任 、 争 议 的 解决 办 法 和 双方 约定 的 
其 他 事项 。 


(7) 监理 规划 


监理 规划 的 编制 应 针对 工程 的 实际 情况 ， 明 确 监理 机 构 的 工作 目标 ， 确 定 具 体 的 监理 工作 制度 、 方 法 和 措施 。 监 理 规 划 编 制 
的 依据 包括 工程 的 相关 法 律 、 法 规 及 审批 文件 ， 工 程 有 关 的 标准 、 设 计 文 件 和 技术 资料 ， 监 理 合同 、 承 建 合 同 及 工程 相关 的 其 他 
文件 。 监 理 规划 的 主要 内 容 包括 工程 概况 、 监 理 依据 、 监 理 范围 、 监 理 目标 、 监 理 机 构 的 组 织 结构 及 监理 人 员 的 职责 、 监 理 设 
施 、 监 理工 作 方法 及 措施 ， 以 及 监理 工作 制度 。 监 理 规 划 的 编制 应 按 如 下 程序 进行 : 在 签订 监理 合同 后 ， 总 监理 工程 师 主 持 编 制 
监理 规划 ; 监理 规划 完成 后 ， 送 监理 单位 技术 负责 人 审批 并 获得 批准 ; 将 经 审批 的 监理 规划 报 送 业主 单位 签字 确认 后 生效 。 


(8) 监理 实施 细则 


监理 实施 细则 应 符合 监理 规划 的 要 求 ， 并 能 适应 工程 项 目的 专业 特点 ， 具 有 可 操作 性 。 监 理 实施 细则 编制 的 依据 包括 被 签字 
确认 的 监理 规划 ， 与 专业 工程 相关 的 标准 、 设 计 文 件 和 技术 资料 ， 工 程 实施 方案 及 工程 相关 文件 。 监 理 实施 细则 的 主要 内 容 包 括 
专业 工程 的 特点 、 监 理工 作 流 程 、 监 理工 作 的 控制 要 点 及 目标 ， 以 及 监理 方法 和 措施 。 监 理 实 施 细则 应 按 如 下 程序 编制 : 信息 安 
全 监理 工程 师 依据 上 述 编制 依据 ， 编 制 监理 实施 细则 ;将 监理 实施 细则 送 总 监理 工程 师 并 获得 批准 。 





2 .控制 和 管理 手段 


信息 安全 工程 监理 的 控制 和 管理 手段 ， 是 监理 机 构 在 监理 合同 约定 的 范围 内 ， 依 据 监理 规划 和 监理 细则 ， 结 合 监理 对 象 的 特 
点 ， 实 施 质量 控制 、 进 度 控制 和 成 本 控制 ， 实 施 合同 管理 和 信息 管理 ， 并 实施 组 织 协 调 ， 概 括 起 来 即 是 “三 控制 、 两 管理 、 一 协 


3 .监理 咨询 阶段 过 程 


i 


言 息 安全 工程 监理 的 监理 咨询 阶段 过 程 ， 主 要 包括 工程 招标 、 工 程 设 计 、 工 程 实施 和 工程 验收 4 个 阶段 。 监 理 机 构 在 监理 合 
同 约定 的 范围 内 ,依据 监 理 规划 和 监理 实施 细则 ， 通 过 控制 和 管理 手段 ， 对 工程 的 每 一 个 阶段 的 信息 安全 相关 过 程 实施 监理 。 每 
一 阶段 相对 于 制定 的 工程 计划 都 有 可 能 发 生变 更 ， 监 理 机 构 需 要 对 变更 进行 控制 和 管理 。 


8.3.2 ”工程 招标 阶段 监理 


在 工程 招标 阶段 ， 要 明确 工程 安全 需求 ， 拟 定 招 标 文件 ， 签 定 承建 合同 。 监 理 机 构 协助 业主 单位 确保 这 些 工作 的 质量 ， 是 整 
个 工程 质量 和 安全 性 的 基础 。 


1 .监理 目标 


在 工程 招标 阶段 ， 监 理 机 构 通过 监理 工作 ， 应 实现 如 下 信息 安全 监理 目标 。1) 协助 业主 单位 明确 工程 的 安全 需求 ; 2) 如 
适用 ， 协 助 业 主 单位 确定 系统 安全 保护 等 级 ; 3) 协助 业主 单位 编制 的 招标 文件 与 安全 相关 的 内 容 在 技术 上 合理 有 效 ; 4) 协助 
业主 单位 对 投标 文件 中 与 安全 相关 的 内 容 进 行 评审 ， 对 投标 单位 的 安全 资质 进行 审核 ， 选 出 适合 的 承建 单位 ; 5) 促使 承建 合同 
中 与 安全 相关 的 条 款 在 技术 、 经 济 上 合理 有 效 。 


2. 监 理工 作 内 容 


在 工程 招标 阶段 ， 监 理 机 构 为 了 实现 以 上 信息 安全 监理 目标 ， 需 要 进行 以 下 监理 活动 。1) 监理 机 构 根据 监理 合同 编制 监理 
规划 ， 经 业主 单位 签 认 后 作为 监理 工作 的 依据 ; 2) 如 适用 ， 监 理 机 构 协助 业主 单位 依据 国家 等 级 保护 相关 标准 ， 确 定 系统 安全 
保护 等 级 ，3) 监理 机 构 协助 业主 单位 在 深入 调研 的 基础 上 ， 明 确信 息 化 工程 的 安全 目标 和 安全 需求 ; 4) 监理 机 构 检 查 业 主 单 
位 提出 的 安全 需求 与 安全 目标 是 否 一 致 ， 与 国家 和 地 方 的 信息 安全 政策 法 规 、 行 业 标准 是 否 符合 ; 5) 监理 机 构 检 查 招标 文件 中 
工程 的 安全 需求 、 安 全 范围 、 产 品 及 服务 等 技术 要 求 是 否 明确 ; 6) 监理 机 构 在 需要 时 参与 招标 答疑 工作 ， 协 助 业主 单位 对 工程 
所 涉及 的 安全 功能 、 安 全 技术 指标 向 投标 单位 解释 ， 并 保存 会 议 纪要 和 相关 文件 ; 7) 监理 机 构 参 与 投标 文件 评审 ， 监 督 评审 过 
程 的 合理 性 与 公正 性 ， 对 投标 单位 的 安全 相关 资质 进行 审查 ， 并 提出 监理 意见 ， 协 助 业主 单位 挑选 出 适合 的 承建 单位 ; 8) 监理 
机 构 参 与 承建 合同 的 签订 过 程 ， 检 查 承 建 合 同 中 安全 功能 、 技 术 要 求 、 测 试 标准 、 验 收 要 求 和 质量 责任 等 条 款 的 合理 性 ， 在 承建 
合同 中 应 明确 要 求 承建 单位 接受 监理 机 构 的 监理 ; 9) 监理 机 构 尽 早 促 使 业主 单位 、 承 建 单位 和 监理 单位 三 方 签署 保密 协议 ， 以 
保护 工程 建设 中 涉及 的 各 方 内 部 敏感 信息 。 


3 监理 重点 
在 工程 招标 阶段 ， 监 理 机 构 的 监理 重点 应 聚焦 在 以 下 3 个 方面 。 
(1) 安全 需求 


监理 机 构 应 从 如 下 方面 了 解 业 主 单位 的 安全 需求 。1) 监理 机 构 应 协助 业主 单位 通过 调查 研究 ， 明 确信 息 化 工程 建设 的 安全 
目标 ， 从 安全 目标 导出 安全 需求 ; 2) 监理 机 构 应 检查 业主 单位 提出 的 安全 需求 与 安全 目标 的 一 致 性 ， 与 国家 和 地 方 信息 安全 法 
律 、 法 规 和 标准 的 符合 性 ; 3) 如 适用 ， 在 确定 安全 保护 等 级 后 ， 监 理 机 构 宜 协助 业主 单位 将 确定 的 安全 保护 等 级 结果 报 送 相应 
主管 部 门 审查 或 备案 。 

(2) 招标 文件 

监理 机 构 宜 参 与 招标 文件 的 编制 ， 从 如 下 方面 对 招标 文件 提出 监理 意见 。1) 工程 安全 体系 建设 ， 应 能 达到 预定 的 安全 有 目 
标 ， 满 足 预定 的 安全 需求 ，2) 投标 单位 的 资质 要 求 ， 如 信息 系统 安全 集成 或 服务 资质 、 类 似 成 功 案例 等 ; 3) 投标 单位 项 目 组 


人 员 的 资格 要 求 ， 如 信息 安全 领域 的 相关 资质 、 工 作 年 限 和 项 目 经 验 等 ; 4) 新 建 工 程 项 目 对 原 有 信息 系统 安全 性 的 可 能 影响 及 
处 理 ; 5) 所 参照 的 相关 法 规 、 标 准 应 全 面 且 适用 ， 以 确保 招标 文件 符合 国家 信息 安全 相关 法 律 、 法 规 和 标准 。 


(3) 承建 合同 


监理 机 构 应 参与 承建 合同 的 签订 ， 协 助 业主 单位 对 承建 合同 的 如 下 内 容 进行 检查 ， 并 提出 监理 意见 。1) 信息 安全 相关 建设 
内 容 ， 包 括 名 称 、 范 围 和 要 求 等 ; 2) 潜在 安全 风险 的 处 理 办 法 ; 3) 保密 条 款 和 安全 责任 条 款 ; 4) 项 目 验收 标准 、 方 法 及 文档 
交付 ; 5) 监理 机 构 在 工程 款 支 付 中 的 作用 ; 6) 工程 变更 和 扩展 引发 安全 问题 的 处 理 方法 。 


8.3.3 ”工程 设计 阶段 监理 


在 工程 设计 阶段 ， 承 建 单位 将 依据 工程 安全 需求 设计 工程 方案 ， 监 理 机 构 需要 确保 工程 设计 方案 满足 工程 安全 需求 ， 且 合理 
可 行 。 


1 .监理 目标 


在 工程 设计 阶段 ， 监 理 机 构 通过 监理 工作 ， 应 实现 如 下 信息 安全 监理 目标 。1) 促使 业主 单位 与 承建 单位 进行 充分 的 沟通 ， 
形成 深化 的 设计 需求 ; 2) 推动 承建 单位 对 工程 的 安全 设计 进行 规范 化 的 技术 描述 ， 形 成 优化 的 安全 设计 方案 ; 3) 促使 业主 单 
位 、 承 建 单位 消除 设计 文档 在 进入 工程 实施 前 可 预见 的 信息 安全 缺陷 。 


2. 监 理工 作 内 容 


在 工程 设计 阶段 ， 监 理 机 构 为 了 实现 以 上 信息 安全 监理 目标 ， 需 要 进行 以 下 监理 活动 。1) 监理 机 构 根据 监理 规划 、 承 建 合 
同 、 安 全 设计 方案 等 文档 编制 监理 实施 细则 ; 2) 监理 机 构 促 使 业主 单位 和 承建 单位 就 工程 安全 需求 进行 专门 的 讨论 ， 对 系统 的 
安全 需求 形成 一 致 的 理解 ; 3) 监理 机 构建 议 承 建 单位 在 信息 安全 需求 调研 和 信息 安全 风险 评估 的 基础 上 进行 安全 设计 ; 4) 如 
适用 ， 监 理 机 构 确 保 将 已 确定 的 信息 安全 保护 等 级 作为 安全 设计 的 基础 ，5) 监理 机 构建 议 承 建 单位 在 进行 系统 安全 性 设计 时 ， 
充分 考虑 新 建 项 目 可 能 对 现 有 系统 和 目标 系统 安全 性 造成 的 影响 ， 并 在 设计 方案 中 有 所 体现 ; 6) 要 求 承建 单位 提交 工程 设计 方 
案 和 工程 实施 组 织 设计 方案 ， 监 理 机 构 对 其 中 的 安全 设计 内 容 进行 审核 后 提出 监理 意见 ; 7) 监理 机 构 协助 业主 单位 调动 适当 的 
资源 ， 配 合 承建 单位 完成 工程 设计 前 期 的 安全 需求 调查 和 分 析 工 作 ; 8) 监理 机 构 协助 业主 单位 和 承建 单位 与 信息 安全 相关 主管 
部 门 进行 充分 的 沟通 和 协调 ， 确 保安 全 设计 方案 符合 政策 要 求 ，9) 监理 机 构 就 设计 阶段 的 各 种 变更 对 工程 安全 性 的 可 能 影响 提 
出 监理 意见 。 


3. 监 理 重点 
在 工程 设计 阶段 ， 监 理 机 构 的 监理 重点 应 聚焦 在 以 下 两 个 方面 。 
(1) 安全 需求 分 析 


监理 机 构 应 从 如 下 方面 审核 承建 单位 提交 的 工程 安全 需求 文档 ， 并 提出 监理 意见 。1) 信息 安全 相关 法 规 、 标 准 和 其 他 因 
素 ; 2) 系统 的 用 途 及 其 与 业主 单位 业务 安全 的 关联 性 ; 3) 系统 的 安全 功能 、 性 能 、 互 操作 性 和 接口 要 求 的 描述 是 否 明晰 ; 4) 
安全 性 检验 手段 。 


(2) 工程 设计 方案 


监理 机 构 应 从 如 下 方面 对 设计 方案 进行 审核 ， 并 提出 监理 意见 。1) 与 安全 目标 和 安全 需求 的 一 致 性 ;2) 技术 设计 和 施工 
组 织 的 安全 性 ; 3) 残余 风险 的 考虑 ; 4) 对 项 目 实施 过 程 中 可 能 存在 的 安全 风险 和 处 理 办 法 的 考虑 ; 5) 技术 方案 的 开放 性 、 兼 
容 性 和 可 扩展 性 ; 6) 设计 方案 中 安全 设计 与 承建 合同 的 符合 性 ; 7) 与 国家 相关 法 律 、 法 规 和 标准 的 符合 性 。 


8.3.4 ”工程 实施 阶段 监理 


在 工程 实施 阶段 ， 承 建 单位 将 依据 工程 设计 方案 ， 制 定 工程 实施 方案 ， 依 据 工 程 实施 方案 进行 实施 。 监 理 机 构 要 确保 工程 实 


施 方案 的 合理 性 ， 确 保 工程 实施 是 符合 工程 实施 方案 的 ， 并 控制 实施 过 程 中 的 变更 。 
1 .监理 目标 


在 工程 实施 阶段 ， 监 理 机 构 通过 监理 工作 ， 应 实现 如 下 信息 安全 监理 目 。1) 促使 工程 实施 方案 安全 、 合 理 ， 与 设计 方案 符 
合 ; 2) 促使 工程 中 所 使 用 的 产品 和 服务 符合 国家 相关 法 律 、 法 规 和 标准 ; 3) 促使 工程 实施 计划 合理 、 受 控 ; 4) 确认 工程 实施 
过 程 满足 承建 合同 提出 的 安全 要 求 ， 并 与 安全 设计 方案 、 实 施 方案 和 实施 计划 相符 。 


2. 监 理工 作 内 容 


在 工程 实施 阶段 ， 监 理 机 构 为 了 实现 以 上 信息 安全 监理 目标 ， 需 要 进行 以 下 监理 活动 。1) 在 工程 实施 前 ， 监 理 机 构 督促 承 
建 单位 提供 工程 实施 方案 、 工 程 实施 计划 和 工程 进度 安排 等 文档 ， 确 定 实施 人 员 组 成 ， 2) 监理 机 构 对 工程 实施 方案 进行 审核 ， 
检查 实施 方案 与 承建 合同 、 安 全 设计 方案 的 一 致 性 ， 并 提出 监理 意见 ，3) 监理 机 构 对 承建 单位 提交 的 工程 进度 安排 进行 审核 ， 
保证 信息 化 工程 中 的 各 项 安全 措施 实施 符合 信息 化 工程 的 总 体 时 间 安 排 ， 在 时 间 进 度 上 合理 、 有 效 ; 4) 在 工程 实施 中 ， 监 理 机 
构 检 查 工程 施工 过 程 与 实施 方案 的 一 致 性 ， 对 工程 实际 建设 中 的 变更 进行 记录 并 给 出 监理 意见 ;5) 监督 对 到 货 安 全 设备 的 验 
收 ; 6) 督促 承建 单位 按照 规范 进行 系统 和 设备 的 安装 与 调试 ; 7) 监理 单位 促使 业主 单位 和 承建 单位 做 好 工程 实施 中 的 安全 管 
理工 作 ; 8) 如 工程 实施 中 存在 重大 变更 ， 监 理 单位 督促 承建 单位 对 系统 安全 性 进行 再 评估 。 


3. 监 理 重点 
在 工程 实施 阶段 ， 监 理 机 构 的 监理 重点 应 聚焦 在 以 下 3 个 方面 。 
(1) 工程 实施 方案 和 工程 实施 组 织 方案 


监理 机 构 应 从 如 下 方面 对 承建 单位 提交 的 工程 实施 方案 和 工程 实施 组 织 方 案 提出 监理 意见 。1) 实施 方案 与 安全 设计 方案 的 
符合 性 ; 2) 安全 设备 安装 调试 规划 ， 包 括 各 类 安全 设备 的 采购 、 进 场 、 配 置 、 调 试 和 管理 等 的 规划 ; 3) 工程 实施 组 织 中 的 安 
全 ， 如 工程 实施 人 员 安 全 管理 措施 等 ，4) 如 适用 ， 项 目 分 包工 程 实施 的 安全 控制 措施 。 


(2) 安全 设备 验收 


监理 机 构 应 从 如 下 方面 对 主要 设备 进行 到 货 验 收 ， 并 提出 监理 意见 。1) 具有 合法 销售 许可 证 ; 2) 由 合法 供应 商 供应 ; 3) 
符合 设计 规定 的 功能 、 性 能 要 求 ; 4) 安全 设备 及 型 号 与 安全 产品 认证 证 书 一 致 ; 5) 如 适用 ， 由 第 三 方 测试 机 构 出 具 的 测试 报 
告 ; 6) 设备 运转 正常 ， 功 能 、 性 能 达到 合同 要 求 。 


(3) 工程 实施 管理 


监理 机 构 应 从 如 下 方面 对 工程 实施 中 的 安全 管理 进行 监督 。1) 督促 承建 单位 严格 按照 经 审批 的 实施 方案 进行 施工 ; 2) 审 
查 承 建 单位 施工 人 员 的 身份 与 资格 ; 3) 督促 承建 单位 在 施工 中 严格 遵守 业主 单位 的 相关 安全 管理 规定 。 


8.3.5 ”工程 验收 阶段 监理 


在 工程 验收 阶段 ， 将 对 工程 输出 的 系统 进行 系统 的 测试 和 验收 。 监 理 机 构 要 确保 验收 流程 的 规范 性 、 验 收 标准 的 合理 性 、 验 
收 过 程 的 严谨 性 。 


1. 监 理 目标 


在 工程 验收 阶段 ， 监 理 机 构 通过 监理 工作 ， 应 实现 如 下 信息 安全 监理 目标 。1) 明确 工程 安全 测试 验收 方案 的 符合 性 及 可 行 
性 ; 2) 促使 工程 的 最 终 安全 性 能 和 功能 符合 承建 合同 、 法 律 、 法 规 和 标准 的 要 求 ; 3) 促使 承建 单位 所 提供 的 工程 技术 、 管 理 
文档 的 内 容 符 合 相 天 标准 。 


2. 监 理工 作 内 容 


在 工程 实施 阶段 ， 监 理 机 构 为 了 实现 以 上 信息 安全 监理 目标 ， 需 要 进行 以 下 监理 活动 。1) 依据 承建 合同 、 安 全 设计 方案 、 
实施 方案 、 实 施 记录 、 国 家 或 地 方 相关 标准 和 技术 指导 文件 ， 对 信息 化 工程 进行 安全 符合 性 检查 ， 以 验证 项 目 是 否 实现 了 项 目 设 
计 目 标 和 安全 等 级 要 求 ;) 2) 根据 信息 系统 的 安全 等 级 ， 协 助 业主 单位 委托 外 部 测评 机 构 对 安全 建设 项 目 进行 测评 ;，3) 协助 业 
主 单位 建立 验收 工作 机 构 ， 组 织 最 终 的 项 目 验 收 会 议 ; 4) 协助 验收 工作 机 构 审核 承建 单位 提供 的 验收 工作 方案 ， 并 提出 监理 意 
见 ; 5) 协助 业主 单位 对 承建 单位 提供 的 项 目 验收 报告 进行 评审 ， 并 提出 监理 意见 ，6) 协助 业主 单位 收集 工程 实施 中 的 各 种 关 
键 文档 。 


3. 监 理 重点 
在 工程 验收 阶段 ， 监 理 机 构 的 监理 重点 应 聚焦 在 以 下 3 个 方面 。 
(1) 测试 


监理 机 构 应 从 如 下 方面 开展 测试 中 的 监理 工作 。1) 监理 单位 应 督促 承建 单位 根据 网 络 、 操 作 系统 、 应 用 系统 及 各 类 产品 等 
安全 功能 及 性 能 的 不 同 ， 采 用 不 同 的 技术 检测 方法 ， 设 计 详 细 的 测试 技术 方案 和 控制 流程 。2) 监理 机 构 应 督促 承建 单位 对 工程 
中 安装 的 设备 或 产品 进行 测试 ， 以 评估 产品 是 否 符合 业主 单位 对 工程 的 安全 要 求 。3) 监理 机 构 应 督促 承建 单位 在 系统 建设 完成 
之 后 ， 在 开通 和 交付 业主 单位 验收 、 使 用 之 前 ， 进 行 总 体 安全 性 测试 。4) 监理 机 构 应 督促 承建 单位 对 安全 测试 的 内 容 做 详细 的 
工作 文档 记录 ， 包 括 安全 工程 测试 方法 、 测 试 结果 和 测试 指标 结果 等 。5) 如 适用 ， 监 理 机 构 应 督促 承建 单位 及 时 纠正 测试 中 发 
现 的 安全 问题 。6) 监理 机 构 应 从 以 下 方面 对 测试 结果 进行 审查 ， 并 提交 监理 意见 : 系统 安全 功能 ， 如 用 户 授权 管理 、 访 问 控制 
和 传输 加 密 等 ; 系统 安全 性 能 ， 如 密码 算法 强度 等 。 


(2) 信息 系统 安全 测评 


监理 机 构 应 从 如 下 方面 开展 信息 系统 安全 测评 中 的 监理 工作 。1) 协助 业主 单位 做 好 与 安全 测评 机 构 的 沟通 ， 协 调 项 目 各 方 
与 测评 机 构 做 好 配合 工作 ; 2) 协助 业主 单位 审核 测评 机 构 编写 的 安全 验收 测评 方案 ; 3) 检查 业主 单位 和 承建 单位 安全 验收 测 
评 的 技术 准备 、 文 档 准 备 和 人 员 准 备 情况 ，4) 如 适用 ， 监 理 机 构 应 协助 业主 单位 ， 并 督促 承建 单位 整改 安全 测评 中 发 现 的 问 


日 


题 。 
(3) 工程 验收 


监理 机 构 应 从 如 下 方面 开展 工程 验收 中 的 监理 工作 。1) 监理 机 构 应 督促 承建 单位 在 系统 验收 前 先进 行 系统 的 测试 和 试 运 
行 ， 并 进行 详细 的 文档 记录 ; 2) 监理 机 构 应 建议 业主 单位 和 承建 单位 根据 详细 设计 文档 及 相关 部 门 颁发 的 有 关 文 件 、 各 专业 的 
设计 规范 、 建 设 规范 和 验收 规范 进行 项 目 验 收 ; 3) 如 适用 ， 承 建 单位 应 提供 由 国家 授权 的 信息 安全 测评 机 构 提供 的 系统 安全 测 
评 报告 ， 作 为 工程 验收 的 材料 。 


思考 


内 


1. 信 息 安全 工程 与 信息 化 建设 工程 是 什么 样 的 关系 ”信息 安全 工程 作为 一 门 交叉 学 科 ， 是 吸收 了 哪些 基础 理论 而 发 展 起 来 


的 ? 
2. 信 息 安全 工程 实施 应 包括 哪些 阶段 ?每 一 阶段 主要 有 哪些 活动 ? 


3. 信 息 安 全 工程 监理 各 阶段 的 监理 目标 是 什么 ”主要 监理 内 容 有 哪些 ? 


第 9 章 ”信息 安全 工程 能 力 评 佑 


阅读 提示 ”信息 安全 工程 能 力 是 可 度量 的 。 本 章 主要 介绍 SSE-CMM 模 型 及 其 评估 方法 等 方面 的 内 容 ， 以 期 读者 能 够 理解 安 





全 工程 能 力 与 安全 工程 过 程 之 间 的 关系 ， 掌 握 信 息 安 全 工程 过 程 中 应 进行 的 基本 实施 (Base Practices，BP) 和 通用 实施 (Genetic 


Practice，GP) 活动 ; 能 够 使 用 SSE-CMIM 来 评估 、 改 进 组 织 的 安全 工程 能 力 ， 进 而 改进 组 织 实施 的 工程 的 安全 性 。 


9.1 SSE-CMM 概 述 


确定 信息 安全 工程 实施 组 织 的 实施 能 力 ， 是 获取 组 织 (包括 从 内 外 部 获取 系统 、 产 品 和 服务 的 组 织 以 及 最 终 用 户 ) 所 关心 
的 ， 这 是 选择 信息 安全 工程 实施 组 织 (包括 系统 集成 商 、 应 用 开发 商 、 产 品 厂商 和 服务 供应 商 等 ) 的 基础 。 可 以 使 用 系统 安全 工 
旦 能 力 成 熟 度 模型 对 一 个 组 织 信息 安 全 工程 实施 过 程 的 规范 性 、 进 而 对 其 信息 安全 工程 实施 能 力 进行 评估 。 基 于 这 种 评估 结果 ， 
获取 组 织 可 以 选择 具有 相应 信息 安全 工程 实施 能 力 的 实施 组 织 ， 以 保障 工程 的 质量 和 安全 性 ; 实施 组 织 可 以 发 现 自身 在 工程 实施 
过 程 中 的 不 足 ， 从 而 改进 信息 安全 工程 实施 过 程 ， 进 而 提升 信息 安全 工程 实施 能 力 。 


SSE-CMM 是 基于 将 CMM 应 用 于 系统 安全 工程 的 研究 和 实践 产生 的 。1996 年 10 月 出 版 了 SSE-CMM 1.0 版 ，1997 年 4 月 出 
版 了 相应 的 评估 方法 SSAM 1.0 版 。2002 年 3 月 SSE-CMM 正 式 成 为 国际 标准 ， 即 ISO/IEC 21827: 2002， 并 于 2008 年 10 月 修订 
为 ISO/IEC 21827: 2008。 我 国 于 2006 年 在 参考 ISO/IEC 21827: 2002 的 基础 上 ， 发 布 了 国家 标准 GB/T 20261 一 2006《 信 息 
技术 系统 安全 工程 能 力 成 熟 度 模型 》。 


9.1.1 SSE-CMM 概 念 及 作用 


SSE-CMM 是 一 种 衡量 系统 安全 工程 (Systems Security Engineering，SSE) 实施 能 力 的 方法 ， 主 要 用 于 指导 SSE 的 完善 
和 改进 ， 使 SSE 成 为 一 个 清晰 定义 、 可 管理 和 可 度量 的 学 科 。SSE-CMM 描 述 了 一 个 组 织 的 系统 安全 工程 过 程 必须 包含 的 基本 特 
征 。 这 些 特征 是 完善 的 安全 工程 保证 ， 也 是 系统 安全 工程 实施 的 度量 标准 ， 同 时 还 是 一 个 易于 理解 的 评估 系统 安全 工程 实施 的 框 


SSE-CMM 了 吸收 了 现代 统计 过 程控 制 理论 ， 强 调 过 程控 制 。SSE-CM M 中 提 及 的 过 程 ， 包 括 “ 已 定义 过 程 ”和 “已 执行 过 
程 ”两 种 类 型 。 “已 定义 过 程 ” 是 由 一 个 组 织 正式 摘 述 的 或 者 由 组 织 的 安全 工程 师 描述 的 供 组 织 使 用 的 过 程 ， 是 安全 工程 师 计划 
要 执行 的 过 程 ， 通 常 在 组 织 的 规章 、 制 度 、 标 准 或 规范 中 加 以 描述 。 “已 执行 过 程 ” 是 安全 工程 师 实际 开展 工作 的 过 程 ， 是 实际 
实施 的 过 程 。“ 已 定义 过 程 ” 是 支持 组 织 的 安全 工程 师 开 展 工作 的 过 程 ， 为 安全 工程 师 的 工作 开展 提出 要 求 和 提供 规范 ;安全 工 


旦 师 参照 “已 定义 过 程 ”的 要 求 和 规范 来 执行 ， 形 成 “已 执行 过 程 ”。 


作为 安全 工程 实施 能 力 的 度量 标准 ，SSE-CMM 拥 有 SsE 的 所 有 特征 ， 如 覆盖 整个 组 织 的 活动 ， 包 括 管理 、 组 织 和 工程 活动 
等 ， 而 不 仪 仪 是 系统 安全 的 工程 活动 ; 它 与 其 他 组 织 相互 作用 ， 涉 及 开发 方 、 产 品 供应 商 、 集 成 商 、 采 购 方 、 安 全 评估 组 织 、 资 
质 认 证 组 织 和 咨询 服务 商 等 ; 同时 ， 基 于 SSE-CMM 的 工程 不 是 孤立 的 工程 ， 而 是 与 其 他 工程 并 行 且 相互 作用 ， 如 软件 工程 、 硬 
件 工程 、 基 建 工程 、 人 力 资源 工程 、 通 信 工 程 和 测试 工程 等 。 另 外 ，SsE-CMM 可 应 用 于 所 有 类 型 和 大 小 的 安全 工程 机 构 ， 如 业 
务 机 构 、 政 府 机 构 和 学 术 机 构 等 。 


使 用 SSE-CMM 可 以 带 来 如 下 益处 : 1) 获取 组 织 有 了 一 种 可 重复 使 用 的 评定 方法 ， 能 够 减少 选择 不 合格 投标 者 的 风险 ; 使 
用 这 种 基于 标准 的 统一 评估 可 以 明显 减少 争议 ， 能 够 在 产品 生产 或 提供 服务 过 程 中 建立 可 预测 和 可 重复 的 可 信和 度 ; 2) 工程 实施 
组 织 可 以 通过 可 重复 和 可 预测 的 过 程 实施 来 减少 返工 、 提 高 质量 和 降低 成 本 ， 提 升 安全 工程 实施 能 力 ; 可 以 获得 真实 工程 实施 能 
力 的 认可 ， 可 以 获取 工程 实施 组 织 的 资格 (所 要 求 的 能 力 成 熟 度 ) 并 保持 持续 改进 ; 3) 评价 组 织 (包括 系统 、 产 品 和 服务 评估 
组 织 ) 可 以 获得 与 系统 、 产 品 或 服务 变化 无 关 的 、 可 重用 的 过 程 评定 结果 ， 可 以 在 安全 工程 中 和 安全 工程 与 其 他 工程 的 集成 中 获 
得 信任 度 ; 这 种 基于 能 力 的 显 式 可 信和 度 ， 可 以 减少 安全 评估 工作 量 。 


9.1.2 ”SSE-CMM 的 体系 结构 


SSE-CMM 是 一 个 二 维 的 体系 结构 ， 横 向 称 为 “ 域 ” 维 ,纵向 称 为 “能 力 ” 维 。 这 种 设计 是 为 了 在 整个 安全 工程 范围 内 确定 
安全 工程 组 织 的 工程 过 程 能 力 成 熟 度 ， 并 清晰 地 从 管理 和 制度 化 特征 中 分 离 出 安全 工程 的 基本 特征 。 


域 维 代表 安全 工程 组 织 应 该 执行 的 安全 工程 过 程 ， 由 所 有 定义 安全 工程 的 过 程 区 域 (Process Area，PA) 构成 。 能 力 维 代 
表 安 全 工程 组 织 的 工程 过 程 能 力 成 熟 度 级 别 ， 由 执行 安全 工程 过 程 时 所 应 具有 的 “公共 特征 ” (Common Feature，CF) 构 
成 。 通 过 设置 这 两 个 相互 依赖 的 维 ，SSE-CMM 在 各 个 能 力 级 别 上 覆盖 了 整个 安全 活动 范围 。 


在 图 9-1 中 ，“ 评 佑 脆弱 性 ”过 程 区 域 显 示 在 横 坐标 中 ， 这 个 过 程 区 域 代 表 了 所 有 涉及 安全 脆弱 性 评估 的 实施 活动 。 “跟踪 
执行 ”公共 特征 显示 在 纵 坐 标 上 ， 它 代表 了 一 组 涉及 测量 的 实施 活动 ， 这 些 测量 活动 可 用 于 计划 的 过 程 实施 活动 。 例 如 ， 可 用 于 
测量 “评估 脆弱 性 ”这 一 过 程 区 域 的 执行 是 否 具 有 “跟踪 执行 ”这 一 公共 特征 。 因 此 ， 图 9-1 中 过 程 区 域 和 公共 特征 的 深 色 交叉 
点 表示 组 织 “ 评 佑 脆弱 性 ”过 程 的 能 力 达 到 了 “跟踪 执行 ”要 求 。 图 9-1 中 每 一 个 方 框 表示 一 个 组 织 执行 一 些 安全 工程 过 程 的 能 
力 。 通 过 这 种 方式 收集 安全 工程 组 织 的 信息 ， 可 以 评价 其 执行 安全 工程 过 程 的 整体 能 力 〈 即 能 力 轮廓 ) 。 
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图 9-1 SSE-CMM 的 二 维 体系 结构 
1. 域 维 


SSE-CMM 的 域 维 汇集 了 定义 安全 工程 的 所 有 过 程 。 域 维 的 最 小 组 成 单位 是 “基本 实施 ” ， 若 干 个 关系 密切 的 基本 实施 组 合 
在 一 起 构成 了 一 个 基本 实施 的 逻辑 单位 “过 程 区 域 ”， 若 干 个 性 质 相近 的 过 程 区 域 组 合 在 一 起 构成 了 一 个 过 程 区 域 的 逻辑 单 
位 “过 程 类 ”，SSE-CMM 的 域 维 共 包括 3 个 过 程 类 ， 分 别 是 安全 工程 过 程 类 、 项 目 管理 过 程 类 和 组 织 管理 过 程 类 。 整 个 域 维 的 
结构 如 图 9-2 所 示 。 


基本 实施 ‘BP) 是 域 维 的 最 小 

单位 。 如 果 选 择 执行 其 所 属 的 过 

程 区 域 (PA) ， 则 必须 执行 它 。 
2 共有 129 个 BP 





过 程 区域 (PA ) 由 一 些 基本 实 
施 (BP) 构 成， 这 些 BP 共 同 实 
过 程 区 域 (PA) 施 以 达到 该 PA 的 目标 。 共 有 22 个 PA 


过 程 区 域 (PA ) 被 分 为 安全 工 
程 过 程 类 、 项 目 管理 过 程 类 和 组 
织 管理 过 程 类 3 个 过 程 类 


图 9-2 SSE-CMM 的 域 维 结构 





(1) 基本 实施 


实施 ， 指 一 种 常用 方法 、 习 惯 或 常规 ， 是 一 项 实践 活动 。 基 本 实施 ， 是 一 项 基本 实践 活动 。 在 SSE-CMM 中 ， 一 项 BP 是 指 
信息 安全 方面 的 一 项 基本 实践 活动 ， 代 表 信 息 安全 领域 的 一 项 最 佳 实践 惯例 。SSE-CMM 共 包括 129 项 BP， 分 布 于 22 个 PA 中 。 
这 些 BP， 是 根据 广泛 的 现 有 资料 、 实 践 和 专家 意见 综合 得 出 的 ， 代 表 了 信息 安全 工程 领域 的 最 佳 实践 惯例 ， 而 不 是 没有 测试 过 
的 实践 。 


一 项 BP， 不 和 其 他 BP 重 者 ， 它 不 是 简单 地 反映 最 新 技术 水 平 ， 也 不 指定 特定 的 方法 或 工具 ， 它 适用 于 在 不 同 的 业务 背景 
使 用 不 同 的 方法 ， 适 用 于 组 织 的 生命 周期 。 如 果 某 一 项 BP 仅仅 是 在 某 个 阶段 (例如 设计 阶段 ) 或 者 某 个 单一 的 抽象 层次 执行 ， 
不 能 认为 这 个 组 织 已 经 执行 了 这 项 BP。 


(2) 过 程 区 域 


一 个 过 程 区 域 由 一 组 相关 的 BP 组 成 ， 这 些 BP 是 安全 工程 过 程 中 必须 存在 的 特征 ， 是 强制 性 的 ， 只 有 当 这 些 BP 全 部 执行 后 ， 
才能 满足 该 PA 的 要 求 ， 才 能 达到 该 PA 定义 的 目标 。 只 要 PA 中 有 一 项 BP 没有 执行 ， 就 不 能 说 组 织 已 经 执行 了 此 过 程 区 域 。 一 个 
PA， 与 某 一 个 有 价值 的 安全 工程 服务 相关 ， 适 用 于 组 织 的 生命 周期 ， 能 够 在 不 同 的 组 织 和 产品 背景 中 实施 ， 能 够 作为 一 个 特定 
的 过 程 进行 改进 。SSE-CMM 共 包括 22 个 PA。 


虽然 一 项 BP 对 于 所 属 的 PA 来 说 是 必需 的 ，PA 中 的 所 有 BP 应 成 组 地 执行 以 完成 一 个 PA， 但 并 不 要 求 所 有 的 BP 都 由 一 个 人 、 
一 个 角色 或 一 个 部 门 来 完成 ; 同时 ， 由 于 不 同 的 组 织 对 于 角色 和 部 门 的 命名 是 完全 自主 的 ， 是 不 一 样 的 ， 所 以 ，SSE-CMM 中 的 
BP 的 名 称 都 是 “动词 + 名 词 ”的 结构 ， 即 谓 宾 结构 ， 没 有 主语 。 也 就 是 说 ，SSE-CMM 只 规定 了 应 该 “做 什么 ”， 没 有 规 
定 “ 谁 ”来 做 。 这 种 特性 被 称 为 “角色 独立 性 ”。 工 程 组 织 在 应 用 SSE-CMM 时 ， 应 该 为 每 个 BP 分 配 特 定 的 角色 来 执行 它 。 


(3) 过 程 类 


SSE-CMM 的 22 个 PA 分 属于 安全 工程 过 程 类 、 项 目 管理 过 程 类 和 组 织 管理 过 程 类 3 个 类 别 。 安 全 工程 过 程 类 中 PA 包 含 的 
BP， 是 SSE-CMM 特 有 的 安全 工程 过 程 ， 描 述 了 系统 安全 工程 实施 中 与 安全 直接 相关 的 活动 ， 项 目 管理 过 程 类 和 组 织 管理 过 程 
类 中 PA 包 合 的 基 BP， 来 自 SE-CMM 和 SW-CMM， 并 不 直接 同系 统 安 全 相关 ， 但 却 是 SSE-CMM 的 基础 ， 为 安全 工程 过 程 类 的 


PA 提供 背景 和 支持 ， 与 11 个 安全 工程 过 程 类 的 PA 一 起 用 来 度量 安全 工程 组 织 的 过 程 能 力 成 熟 度 。 
2. 能 力 维 


SSE-CMM 的 能 力 维 反映 一 个 组 织 执行 域 维 中 各 个 过 程 区 域 的 能 力 成 熟 度 。 能 力 维 的 最 小 组 成 单位 是 “通用 实施 ”， 若 干 个 
通用 实施 组 合 在 一 起 构成 通用 实施 的 逻辑 单位 “公共 特征 ”， 若 工程 实施 组 织 执行 域 维 中 的 某 一 个 PA 具有 若干 个 CF， 此 工程 组 
织 的 此 PA 的 能 力 成 熟 度 就 达到 了 某 个 级 别 。SSE-CMM 定 义 了 从 0~5 依 次 递增 的 6 个 能 力 成 熟 度 级 别 。 能 力 维 的 结构 如 图 9-3 所 
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通用 实施 “GP) 是 管 公共 特征 ‘CF) 是 由 由 公共 特征 ‘CF) 组 
理 、 制 度 和 度量 方面 的 通用 实施 (GP) 组 成 的 成 的 过 程 能 力 水 平 的 级 
活动 ， 可 用 于 决定 所 有 逻辑 域 别 划分 。0 ~ 5 共 6 个 级 别 
活动 的 能 力 水 平 


图 9-3 SSE-CMM 的 能 力 维 结构 
(1) 通用 实施 


“通用 实施 ”是 涉及 过 程 的 管理 、 测 量 和 制度 化 方面 的 活动 ， 是 适用 于 所 有 过 程 的 活动 。 正 是 因为 这 些 活动 适用 于 域 维 中 所 
有 过 程 区 域 的 活动 ， 所 以 称 之 为 “通用 实施 ”。 在 工程 实施 时 ，GP 应 该 作为 BP 的 一 部 分 加 以 执行 ; 在 评估 时 ，GP 用 于 判定 工程 
组 织 执行 某 个 PA 的 能 力 。 


在 域 维 中 ， 不 同 的 BP 之 间 和 不 同 的 PA 之 间 在 宏观 上 没有 特定 的 顺序 ， 因 为 所 有 的 BP 和 PA 都 是 贯穿 于 组 织 生命 周期 的 ， 在 
工程 项 目的 每 一 阶段 都 应 该 执行 。 与 域 维 BP 不 同 的 是 ， 能 力 维 的 GP 按 其 成 熟 性 排序 ， 因 此 高 级 别 的 GP 位 于 能 力 维 的 高 端 。 作 为 
GP 的 逻辑 单位 的 CF， 也 是 按 其 成 熟 性 排序 的 。 能 力 维 与 域 维 的 相似 之 处 是 ， 能 力 维 中 的 GP 和 CF 的 命名 ， 同 样 是 谓 宾 结 构 ， 即 
具有 角色 独立 性 。 


(2) 公共 特征 


一 个 “公共 特征 ”由 若干 项 “通用 实施 ”组 成 。CF 的 设计 是 为 了 描述 一 个 组 织 特定 安全 工程 过 程 执行 方法 的 重大 变化 。 除 
了 最 低 的 CF 执行 基本 实施 以 外 ， 其 余 CF 包 含 的 GP 有 助 于 从 整体 上 判断 安全 工程 管理 的 优 务 以 及 每 个 PA 的 改进 情况 。 


注意 一 个 组 织 机 构 可 随意 以 其 所 选择 的 方式 和 次 序 米 计划、 跟踪、 定义、 控制 和 改进 其 工程 过 程 。 然 而 ， 由 于 一 些 较 高 级 
别 的 GP 依赖 于 较 低 级 别 的 GP， 因 此 ， 组 织 机 构 在 试图 达到 较 高 能 力 级 别 之 前 ， 应 首先 实现 较 低级 别 的 GP。 


(3) 能 力 级 别 


在 评估 一 个 工程 组 织 的 能 力 时 ， 给 每 个 PA 赋予 一 个 能 力 级 别 评分 ， 所 得 到 的 两 维 图 形 便 形象 地 反映 一 个 工程 组 织 整 体 上 的 


系统 安全 工程 能 力 成 熟 度 ， 也 间接 地 反映 其 工作 结果 的 质量 及 其 安全 方面 的 可 信和 度 。 图 9-4 显 示 了 使 用 SSE-CMM 评 估 的 某 个 工 
旦 组 织 的 能 力 轮廓 。 图 中 纵 坐 标 为 能 力 成 熟 度 从 0~5 的 6 个 级 别 ， 横 坐标 中 包含 了 5 个 过 程 区 域 。 这 个 能 力 轮廓 说 明了 这 个 组 织 的 
安全 工程 能 力 并 不 成 熟 ， 它 有 一 个 过 程 区 域 能 力 成 熟 度 只 有 1 级 。 


能 力 级 别 
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图 9-4 基于 SSE-CMM 评 估 的 能 力 轮 廊 图 


9.2 ”信息 安全 工程 过 程 


SSE-CMM 将 域 维 中 的 安全 工程 过 程 类 的 11 个 PA 划 分 为 3 个 基本 过 程 领域 ， 分 别 是 风险 过 程 、 工 程 过 程 和 保证 过 程 。 它 们 既 
相对 独立 ， 又 有 机 联系 ， 如 图 9-5 所 示 。 风 险 过 程 识别 出 所 开发 的 产品 或 系统 的 风险 ， 并 对 这 些 风险 进行 优先 级 排序 。 针 对 风险 
所 涉及 的 安全 问题 ， 需 要 系统 安全 工程 过 程 与 其 他 工程 (如 通信 工程 等 ) 一 起 来 确定 和 实施 相应 的 解决 方案 。 最 后 ， 由 安全 保证 
过 程 建立 起 解决 方案 的 可 信 度 并 向 客户 转达 这 种 安全 的 可 信和 度 。 这 3 个 领域 的 过 程 活动 ， 共 同 实现 了 安全 工程 过 程 所 要 达到 的 安 
全 目标 。 





保证 论据 





图 9-5 系统 安全 工程 过 程 的 三 个 领域 


9.2.1 ”风险 过 程 领域 


SSE-CMM 的 风险 过 程 领域 的 相关 活动 ， 就 是 风险 评估 过 程 ， 是 确定 整个 工程 的 信息 安全 需求 的 基础 过 程 。 风 险 过 程 领域 包 
括 4 个 PA， 分 别 是 评估 威胁 、 评 估 脆 弱 性 、 评 估 影 响 和 评估 安全 风险 ， 这 4 个 PA 之 间 的 关系 如 图 9-6 所 示 。 


威胁 信息 
PA05: 评估 脆弱 性 一 一 > | PA03: 评估 安全 风险 十 
< 风险 信息 
PAO2: ”PA02: 评估 影响 | 
> 


图 9-6 ”风险 过 程 领域 


注意 ”在 前 面 章节 ， 风 险 管理 中 的 风险 三 要 素 是 资产 、 威 胁 和 脆弱 性 ， 与 安全 工程 中 的 风险 三 要 素 并 不 了 矛盾，“ 影 响 ” 即 指 


有 关 风 险 过 程 领域 中 评估 威胁 、 评 估 脆 弱 性 、 评 估 影 响 和 评估 安全 风险 4 个 过 程 区 域 相关 活动 的 更 详细 内 容 ， 参 见 4.3 节 。 


9.2.2 ”工程 过 程 领域 


SSE-CMM 工 程 过 程 领域 的 相关 活动 ， 就 是 基于 风险 过 程 领域 相关 活动 的 输出 结果 ， 来 确定 信息 安全 需求 并 采取 适当 的 方法 
和 措施 应 对 信息 安全 风险 、 满 足 信息 安全 需求 的 过 程 。 


系统 安全 工程 与 其 他 工程 活动 一 样 ， 是 一 个 包括 概念 、 设 计 、 实 现 、 测 试 、 部 署 、 运 行 、 维 护 和 退出 的 完整 过 程 。 在 这 个 过 
程 中 ， 系 统 安全 工程 的 实施 必须 紧密 地 与 其 他 系统 工程 组 进行 合作 ， 系 统 安全 工程 师 作 为 一 个 大 工程 项 目 队 伍 中 的 组 成 部 分 ， 需 
要 与 其 他 学 科 工 程 师 的 活动 相互 协调 与 配合 。 这 有 助 于 保证 安全 成 为 一 个 大 项 目 过 程 中 的 有 机 组 成 部 分 ， 而 不 是 一 个 孤立 的 部 


他 
人 J。 


工程 过 程 领域 包括 5 个 过 程 区 域 ， 分 别 是 确定 安全 需求 、 提 供 安全 输入 、 管 理 安 全 控制 、 监 控 安 全 态势 和 协调 安全 ， 这 5 个 
过 程 区 域 之 间 的 关系 如 图 9-7 所 示 。 从 图 9-7 可 以 看 出 ， 由 风险 过 程 得 到 的 风险 信息 ， 以 及 通过 分 析 系 统 业 务 目标 、 用 户 需求 和 
法 律 、 法 规 的 遵循 性 ， 可 以 确定 系统 的 安全 需求 ; 根据 安全 需求 ， 开 发 出 与 安全 相关 的 策略 、 指 南 等 ， 把 它 提供 给 其 他 工程 组 ， 
为 其 他 工程 组 提供 输入 ; 安全 工程 组 和 其 他 工程 组 一 起 制定 安全 解决 方案 ， 根 据 解决 方案 实施 安全 工程 ， 并 为 整个 工程 的 实施 提 
供 安全 方面 的 指导 ; 在 整个 工程 过 程 中 对 各 项 安全 措施 进行 适当 管理 ， 确 保 集成 到 系统 中 的 安全 控制 措施 确实 实现 ， 能 在 系统 运 
行 过 程 中 发 挥 预期 的 安全 功能 ; 安全 工程 师 需要 根据 风险 的 状况 正确 配置 产品 和 系统 ;在 整个 工程 过 程 中 需要 监控 安全 态势 ， 及 
时 发 现 安全 风险 的 变化 ， 并 进行 适当 的 处 置 。 整 个 安全 工程 过 程 中 需要 安全 工程 组 就 各 个 安全 事项 与 其 他 工程 组 进行 协调 。 


风险 信息 


监控 安全 态势 





£EB -> A hy Fe JE 人 
需求 、 策 略 等 配置 信息 





管理 安全 控制 
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解决 方案 、 指 南 等 
图 9-7 工程 过 程 领域 

1. 确 定安 全 需求 


该 过 程 区 域 的 目的 是 明确 地 识别 系统 的 安全 需求 ， 目 标 是 包括 客户 在 内 的 各 方 之 间 达 成 对 安全 需求 的 共同 认识 。 确 定安 全 需 
求 涉及 定义 系统 安全 的 基本 原则 、 系 统 安全 目标 ， 并 经 批准 后 发 布 为 系统 的 安全 基线 ， 以 满足 有 关 安 全 的 法 律 、 政 策 和 组 织 的 安 
全 要 求 。 通 过 这 一 过 程 区 域 所 获得 和 产生 的 信息 在 整个 项 目 中 将 被 其 他 过 程 区 域 使 用 和 更 新 ， 以 确保 客户 需求 得 到 满足 。 本 过 程 
区 域 目标 的 实现 依赖 于 以 下 7 项 基本 实施 的 执行 。 


1) 理解 用 户 安全 需求 。 这 项 活动 的 目标 是 收集 所 有 必要 的 信息 ， 以 全 面 理解 用 户 的 安全 需求 。 这 些 需求 受 安全 风险 的 严重 


程度 以 及 系统 将 来 运行 的 目标 环境 的 影响 。 通 常 需要 识别 和 区 分 不 同 用 户 群 体 的 不 同安 全 需求 。 这 项 活动 的 输出 通常 是 《用 户 安 
全 需求 说 明 书 》 之 类 的 文件 ， 用 以 对 用 户 的 安全 需求 进行 高 层次 的 描述 。 


2) 识别 适用 的 法 律 、 政 策 、 标 准 和 约束 。 此 项 活动 的 目的 是 收集 所 有 影响 系统 安全 需求 的 外 部 因素 。 应 识别 支配 系统 目标 
环境 的 外 部 因素 ， 包 括 法 律 、 法 规 、 政 策 和 业务 标准 ， 并 应 决定 这 些 外 部 因素 间 的 优先 顺序 。 


3) 识别 系统 用 途 ， 确 定 系 统 安全 关联 性 。 此 项 活动 的 目的 是 识别 并 理解 系统 (例如 ， 电 子 政 务 、 电 子 商 务 、 金 融和 医疗 等 
系统 ) 的 用 途 ; 深入 理解 系统 各 要 素 和 外 部 因素 对 系统 安全 性 的 影响 。 系 统 的 用 途 反 映 了 组 织 的 业务 目标 ， 同 时 也 影响 着 安全 风 
险 处 置 的 优先 级 排序 ， 最 终 影响 风险 处 置 的 方式 。 


4) 描绘 系统 运行 的 安全 视图 。 此 项 活动 的 目的 是 开发 一 个 高 层 的 、 面 向 安全 的 规划 视图 ， 视 图 应 包括 任务 、 角 色 、 职 责 、 
信息 流 、 资 产 、 资 源 、 人 员 保 护 以 及 物理 保护 等 要 素 。 同 时 ， 识 别 与 系统 开发 环境 有 天 的 需求 。 


5) 定义 高 层 的 安全 目标 。 此 项 活动 的 目的 是 识别 出 系统 应 该 满足 的 安全 目标 ， 用 于 在 运行 环境 中 为 系统 提供 足够 的 安全 保 
护 。 目 标 应 该 不 依赖 于 具体 的 实现 。 安 全 目标 至 少 应 该 涉及 系统 和 信息 的 可 用 性 、 保 密 性 、 完 整 性 、 可 核查 性 、 真 实 性 和 可 靠 
性 。 


6) 定义 安全 需求 。 此 项 活动 的 目的 是 确定 系统 的 安全 需求 。 应 全 面 识 别 并 定义 系统 的 安全 需求 ， 包 括 非 技术 性 需求 ， 并 确 
保 每 个 需求 与 适用 的 政策 、 法 律 、 标 准 、 安 全 要 求 以 及 系统 约束 条 件 相 一 致 ， 并 与 系统 目标 建立 映射 关系 。 通 常 有 必要 定义 或 确 
定 目标 系统 的 逻辑 和 物理 边界 ， 以 确保 能 够 识别 所 有 方面 的 需求 。 


7) 相关 方 对 安全 需求 达成 一 致 ， 并 获得 系统 用 户 的 认可 。 
2. 提 供 安全 输入 


系统 的 安全 性 不 是 安全 专业 人 员 可 以 全 部 解决 的 ， 它 需要 工程 的 所 有 项 目 组 成 员 共同 来 完成 ， 这 首先 需要 所 有 项 目 组 成 员 都 
理解 安全 问题 。“ 提 供 安 全 输入 ”这 一 过 程 区 域 的 目的 是 为 系统 的 规划 者 、 设 计 者 、 实 施 者 和 用 户 提供 他 们 所 需 的 安全 信息 ( 包 
括 安全 架构 、 安 全 设计 、 实 施 方法 和 安全 指南 等 ) ， 即 告诉 “其 他 人 ”怎么 做 才能 保证 系统 的 安全 。 此 过 程 区 域 覆 盖 开 发 (针对 
设计 者 和 实现 者 ) 和 运行 (针对 用 户 和 管理 员 ) 两 个 领域 的 安全 输入 。 此 过 程 区 域 包括 以 下 6 项 基本 实施 ， 这 些 基 本 实施 需要 在 
系统 生命 周期 的 多 个 时 间 点 重复 进行 。 


1) 理解 安全 输入 需求 。 此 项 活动 要 求 安 全 工程 组 人 员 与 整个 工程 的 设计 人 员 、 开 发 人 员 和 用 户 合作 ， 以 确保 有 关 各 方 对 安 
全 需求 达成 共识 。 安 全 输入 包括 任何 种 类 的 与 安全 相关 的 指南 、 设 计 、 文 档 或 思想 。 


2) 确定 安全 约束 和 需要 考虑 的 问题 。 此 项 活动 的 目的 是 识别 所 有 的 安全 约束 条 件 和 需要 注意 的 事项 ， 以 做 出 正确 的 工程 选 
择 。 安 全 工程 组 分 析 并 确定 在 需求 、 设 计 、 实 现 、 配 置 和 文档 编制 方面 的 任何 安全 限制 及 所 要 考虑 的 问题 。 可 以 在 系统 生命 周期 
的 任何 时 人 息 、 在 不 同 的 抽象 层次 上 识别 约束 条 件 。 约 束 条 件 可 以 是 肯定 性 的 ， 即 一 定 要 怎样 做 ， 也 可 以 是 否定 性 的 ， 即 绝 不 能 怎 
样 做 。 


3) 制定 安全 候选 解决 方案 。 此 项 活动 的 目的 是 识别 与 安全 有 关 的 工程 问题 的 候选 解决 方案 。 这 个 过 程 需要 反复 进行 以 把 安 
全 需求 转换 成 各 种 实现 。 解 决 方案 可 以 采用 多 种 表现 形式 ， 如 体系 结构 、 模 型 和 原型 等 。 此 项 活动 涉及 对 与 安全 需求 进行 分 解 、 
分 析 和 重组 ， 直 到 制定 出 有 效 的 解决 方案 。 

4) 分 析 工 程 可 选 方案 的 安全 性 。 此 项 目 活 动 的 目的 是 分 析 工 程 候选 方案 并 且 排 定 优先 顺序 。 这 要 求 安全 工程 师 利 用 已 识别 
的 安全 约束 和 考虑 ， 评 估 每 个 工程 候选 方案 并 提出 建议 。 


5) 为 工程 组 提供 安全 工程 指南 。 此 项 活动 的 目的 是 制定 与 安全 相关 的 指南 并 且 提 供给 整个 工程 组 。 工 程 组 使 用 安全 工程 指 


南 决定 有 关 体系 结构 、 设 计 和 实现 的 选择 。 安 全 工程 指南 包括 体系 结构 、 设 计 、 实 现 、 安 全 体系 结构 等 方面 的 建议 ， 以 及 设计 标 
准 、 原 理 和 编码 规范 等 。 


6) 为 运行 系统 的 用 户 和 管理 员 提 供 安 全 指南 。 此 项 活动 的 目的 是 制定 与 安全 相关 的 运行 指南 并 且 提 供给 系统 用 户 和 管理 
员 。 运 行 指南 通常 包括 管理 员 手 册 、 用 户 手 册 、 安 全 概述 (安全 环境 、 安 全 目标 、 安 全 要 求 和 安全 基本 原理 等 ) 和 系统 配置 说 明 


和 
琴 jo 


击 


3. 管 理 安全 控制 


管理 安全 控制 区 域 的 目的 是 确保 集成 到 系统 中 的 安全 控制 措施 确实 能 在 系统 运行 过 程 中 发 挥 预期 的 安全 功能 ， 它 的 目标 是 正 
确 地 配置 和 使 用 安全 控制 。 此 过 程 区 域 提 出 管理 和 维护 针对 开发 环境 和 运行 环境 的 安全 控制 机 制 所 需要 的 活动 ， 以 确保 安全 等 级 
能 维持 在 一 定 水 平和 级 别 之 上 。 管 理 安全 控制 是 在 工程 实施 过 程 中 需要 着 重 把 握 的 环节 ， 其 在 工程 实施 各 个 阶段 均 要 执行 。 此 过 
程 区 域 包括 以 下 4 项 基本 实施 。 


1) 建立 安全 职责 。 此 项 活动 要 求 建立 安全 控制 的 职责 和 可 核查 性 ， 并 将 其 通知 到 组 织 中 的 每 一 个 人 。 明 确 工程 实施 各 个 阶 
段 需要 的 与 安全 相关 的 角色 及 其 职责 ， 如 技术 产品 和 技术 措施 的 配置 、 培 训 和 平稳 移交 (操作 、 维 护 、 应 急 和 文档 ) 等 职责 。 编 
制 文档 来 确定 安全 角色 及 其 职责 ， 文 档 经 相应 级 别 的 管理 者 批准 后 发 布 。 


2) 管理 安全 配置 。 此 项 活动 的 目的 是 实现 对 系统 安全 控制 的 配置 的 管理 。 系 统 安全 很 大 程度 上 依赖 于 许多 相关 的 组 件 ( 硬 
件 、 软 件 等 ) ， 所 以 需要 对 所 有 组 件 的 安全 配置 实施 恰当 的 管理 ， 这 对 于 大 型 的 分 布 式 系统 尤为 重要 。 应 掌握 安全 控制 配置 情况 
并 对 其 进行 维护 。 


3) 增强 安全 意识 ， 进 行 培训 和 教育 。 此 项 活动 的 目的 是 使 全 体 员 工具 有 必要 的 安全 意识 和 技能 。 要 求 所 有 用 户 都 具有 安全 
意识 ， 某 些 用 户 在 使 用 安全 机 制 方 面 需要 接受 培训 ， 少 数 用 户 需 要 接受 更 多 、 更 深入 的 安全 知识 和 技能 培训 。 当 引入 新 机 制 和 控 
制 时 ， 需 要 对 用 户 实 施 培训 。 


4) 管理 安全 服务 和 控制 机 制 。 此 项 活动 的 目的 是 管理 和 维护 安全 服务 和 控制 机 制 以 防止 其 被 无 意 或 有 意 地 破坏 ， 以 及 依据 
法 律 和 政策 要 求 进行 合适 的 归档 。 对 每 个 安全 服务 必须 建立 合适 的 安全 参数 ， 确 保 实 现 这 些 参数 ， 并 监督 和 分 析 服 务 的 性 能 以 在 
需要 时 调整 参数 。 


4 监控 安全 态势 


监控 安全 态势 区 域 的 目的 是 确保 识别 和 报告 所 有 对 安全 的 破坏 、 破 坏 企图 和 可 能 导致 安全 受到 破坏 的 错误 。 这 要 求 针对 所 有 
可 能 影响 系统 的 因素 ， 监 视 其 内 、 外 部 环境 。 此 过 程 区 域 既 针对 预期 的 目标 系统 运行 环境 ， 也 针对 其 开发 环境 ， 还 针对 对 总 体 安 
全 有 影响 的 现 有 系统 环境 。 监 控 的 内 容 应 包括 新 系统 是 否 按 照 设计 要 求 有 效 降低 了 风险 ， 是 否 对 原 有 系统 产生 影响 ,是否 引入 了 
新 的 风险 ; 分析 新 系统 在 功能 和 性 能 上 的 变化 趋势 ， 判 断 是 否 需 要 进一步 调整 ， 对 系统 在 试 运行 过 程 中 出 现 的 事件 进行 详细 记录 
和 分 析 ， 并 形成 文档 等 。 此 过 程 区 域 包括 以 下 7 项 基本 实施 。 


1) 分 析 事 件 记 录 。 检 测 并 分 析 安 全 相关 信息 和 事件 记录 (包括 日 志 记录 ) ， 以 确定 事件 的 原因 、 发 展 趋势 以 及 将 来 可 能 
生 的 事件 。 通 过 对 多 条 事件 记录 的 关联 性 分 析 ， 可 能 会 发 现 更 有 价值 的 线索 ， 对 事件 性 质 及 发 展 趋势 的 判定 也 有 帮助 。 


2) 监控 威胁 、 脆 弱 性 和 影响 等 方面 的 变化 。 任 何 系统 安全 都 与 威胁 、 脆 弱 性 、 影 响 和 风险 相关 联 ， 因 为 它们 与 系统 的 内 部 
和 外 部 环境 有 关 。 这 些 因素 没有 一 个 是 静态 的 ， 必 须 监视 所 有 因素 的 变化 ， 并 分 析 这 些 变化 以 评估 它们 对 安全 有 效 性 的 意义 。 





3) 识别 安全 事件 。 确 定 是 否 已 经 发 生 安全 相关 事件 ， 识 别 其 详细 内 容 ， 并 且 在 必要 时 报告 。 可 以 通过 对 历史 事件 数据 、 系 
统 配置 数据 、 完 整 性 工具 和 其 他 系统 信息 的 分 析 ， 诊 断 出 发 生 的 安全 突 发 事件 。 


4) 监控 安全 防护 措施 的 有 效 性 。 许 多 安全 防护 措施 在 使 用 后 可 能 处 于 不 恰当 或 无 效 的 状态 。 因 此 ， 应 该 对 安全 防护 措施 保 
护 开发 和 运行 环境 的 情况 进行 监视 ， 以 识别 出 安全 防护 措施 在 执行 中 的 变化 。 


5) 评审 安全 态势 。 评 审 安全 态势 的 目的 是 识别 必要 的 变更 。 威 胁 环境 、 运 行 要 求 和 系统 配置 出 现 的 变化 都 有 可 能 影响 系统 
的 安全 态势 。 局 动 评审 的 时 间 间 隔 应 该 遵从 恰当 的 策略 和 规则 。 当 有 重大 变化 或 发 生 较 大 安全 事件 时 应 该 及 时 局 动 评审 。 


6) 管理 安全 事件 响应 。 对 很 多 组 织 来 讲 ， 系 统 的 业务 连续 性 是 非常 重要 的 ， 如 银行 、 医 院 等 机 构 。 但 在 日 常 运行 中 ， 安 全 
突 发 事件 不 能 完全 预防 ， 也 不 可 能 预先 确定 ， 因 此 对 这 些 事 件 的 有 效 响应 能 力 是 至 关 重 要 的 。 应 事先 制订 详细 的 应 急 响 应 计划 ， 
测试 并 维护 这 个 计划 。 


7) 保护 安全 监控 得 到 的 记录 数据 。 如 果 监 视 活动 的 结果 不 可 信任 ， 则 监视 活动 就 没有 价值 ， 因 此 需要 保证 与 安全 监视 有 关 
的 记录 数据 得 到 适当 的 保护 。 保 护 活动 包括 封存 和 归档 相关 的 日 志 、 审 计 报告 和 相关 分 析 结 果 。 


5. 协 调 安 全 


协调 安全 区 域 的 目的 是 确保 所 有 人 员 都 了 解 并 介入 安全 工程 活动 。 安 全 工程 不 能 独立 地 取得 成 功 ， 要 保证 所 有 部 门 科 人员 都 
有 一 种 参与 安全 工程 的 意识 ， 才 能 充分 发 挥 其 作用 ; 并 且 ， 有 关 安 全 的 决定 和 建议 需要 相互 沟通 和 协调 才能 达成 一 致 。 这 种 协调 
性 涉及 保持 安全 组 织 、 其 他 工程 组 织 和 外 部 组 织 之 间 的 开放 交流 。 此 过 程 区 域 保证 了 安全 是 整个 工程 项 目的 一 个 完整 部 分 。 此 过 
程 区域 包 括 以 下 4 项 基本 实施 。 


1) 定义 协调 目标 。 工 程 涉及 的 许多 其 他 组 织 也 需要 了 解 并 参与 安全 工程 ， 所 以 需要 建立 与 其 他 组 织 之 间 的 联系 和 业务 天 
系 。 协 调 目标 及 关系 应 该 在 项 目 生命 周期 的 早期 定义 。 其 他 工程 组 应 该 为 安全 工程 师 规 定 其 在 其 他 组 日 常 工作 中 的 角色 及 职责 。 
例如 ， 出 席 评 审 活动 、 实 施 培 训 、 参 加 培训 、 检 查 设 计 等 。 各 工作 组 之 间 应 该 建立 信息 共享 协议 ， 其 中 应 标识 参与 的 部 门 、 使 用 
的 媒介 、 期 望 值 和 沟通 频率 等 。 


2) 识别 协调 机 制 。 有 多 种 方法 可 以 与 其 他 组 织 共享 安全 工程 的 决定 和 建议 。 如 建立 沟通 计划 ， 其 中 包括 用 于 工作 组 成 员 之 
间 以 及 与 其 他 团体 之 间 需 要 共享 的 信息 、 会 议 日 期 、 过 程 和 程序 ; 编制 会 议 报告 、 报 文 或 备忘录 的 模板 ， 保 证 工作 组 成 员 规范 和 
有 效 的 工作 ;标识 工作 组 成 员 之 间 以 及 与 其 他 团体 之 间 共 享 信息 需要 的 基础 设施 和 标准 等 。 


3) 促进 协调 。 完 善 的 协调 关系 到 工程 能 否 成 功 。 在 具有 不 同 优先 级 的 组 织 之 间 进 行 沟通 有 可 能 会 发 生 一 些 冲突 。 需 要 提前 
设 定 相应 的 程序 确保 争端 以 合适 的 、 富 有 成 果 的 方式 得 到 解决 。 另 外 ， 还 需要 设 定 会 议 议 程 、 目 标 和 行动 条 目 ， 并 对 行动 条 目 进 
行 跟踪 。 行 动 条 目 内 容 还 包括 职责 、 时 间 表 以 及 优先 级 。 


4) 协调 安全 决策 和 建议 。 此 项 活动 的 目的 是 运用 已 识别 的 协调 机 制 在 各 种 安全 工程 组 织 、 其 他 工程 组 织 、 外 部 实体 及 其 他 
合适 的 部 门 中 沟通 安全 决定 和 建议 。 可 以 通过 会 议 报告 、 备 记录 、 工 作 组 会 议 纪 要 、 电 子 邮件 、 安 全 指南 或 公告 牌 等 方式 将 有 关 
安全 的 决定 或 建议 告诉 有 关 工 作 组 。 


9.2.3 ”保证 过 程 领域 


SSE-CMM 保 证 过 程 领域 的 相关 活动 ， 就 是 基于 其 他 过 程 领域 相关 活动 的 输出 结果 ， 客 观 地 验证 工程 过 程 领域 的 各 项 安全 控 
制 措施 是 否 有 效 、 信 息 安 全 风险 是 否 得 到 控制 、 信 息 安 全 需求 是 否 得 到 满足 ， 从 而 在 信息 安全 保障 能 力 方面 建立 起 主观 信心 的 过 
程 。 保 证 是 指 安全 需求 得 到 满足 的 可 信 程 度 。 安 全 保证 并 不 能 增加 任何 额外 的 对 安全 风险 的 抵抗 能 力 ， 但 它 能 为 减少 预期 安全 风 
险 提供 信心 。 安 全 保证 也 可 看 作 是 安全 措施 按照 需求 运行 的 信心 ， 这 种 信心 来 自 于 措施 及 其 部 署 的 正确 性 和 有 效 性 。 正 确 性 保证 
了 安全 措施 按 设计 实现 了 需求 ， 有 效 性 则 保证 了 安全 措施 提供 的 安全 服务 可 充分 地 满足 用 户 的 安全 需求 。 


保证 过 程 领域 包括 2 个 过 程 区 域 ， 分 别 是 验证 和 证 实 安全 、 建 立 保障 论据 ， 过 程 区 域 之 间 的 关系 如 图 9-8 所 示 。 安 全 保证 通 
常 以 安全 论据 的 形式 来 传达 。 安 全 论据 包括 一 系列 有 关系 统 特性 的 声明 ， 这 些 声 明 都 要 有 证 据 支 持 。 证 据 是 在 系统 安全 工程 活动 
的 正常 过 程 期 间 获 得 的 ， 并 被 记录 在 文档 中 。SSE-CMM 活 动 自身 就 产生 了 与 安全 相关 的 证 据 ， 如 过 程 文件 能 够 表示 工程 实施 活 
动 是 遵循 了 一 个 充分 定义 的 成 就 工程 过 程 ， 并 且 这 个 过 程 得 到 了 持续 改进 。 
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1. 验 证 和 证 实 安全 


验证 和 证 实 安 全 区 域 的 目的 是 确保 关于 安全 的 解决 方案 得 到 验证 和 证 实 。 这 要 求 针对 工程 安全 需求 、 体 系 结构 和 设计 ， 通 过 
观察 、 论 证 、 分 析 和 测试 来 验证 解决 方案 ; 针对 用 户 的 运行 安全 需求 来 证 实 解决 方案 。 工 程 安 全 需求 是 基于 对 用 户 的 运行 安全 需 
求 进行 分 析 后 而 得 到 的 抽象 层次 的 安全 需求 。 为 了 获得 有 价值 的 客观 结果 ， 验 证 和 证 实 工作 组 应 独立 于 系统 工程 组 ， 但 这 个 组 可 
以 和 系统 工程 组 并 行 工作 。 此 过 程 区 域 包括 以 下 5 项 BP。 


1) 制定 验证 和 证 实 目标 和 计划 。 验 证 证 明了 解决 方案 被 正确 实施 ， 实 现 并 满足 了 工程 安全 需求 ;而 证 实则 证 明了 解决 方案 
是 有 效 的 ， 是 满足 用 户 的 运行 安全 需求 的 。 此 项 活动 涉及 整个 生命 周期 内 与 所 有 工程 组 的 协调 。 需 要 验证 和 证 实 的 工作 产品 包括 
需求 、 设 计 、 体 系 结构 、 实 现 、 硬 件 、 软 件 和 测试 计划 。 与 系统 运行 和 维护 相关 的 工作 产品 同样 可 被 验证 和 证 实 ， 如 系统 配置 、 
用 户 文档 、 培 训 资料 和 应 急 响 应 计划 等 。 


2) 制定 验证 和 证 实 具体 方法 和 严密 等 级 。 需 要 选择 如 何 验证 和 证 实 每 个 需求 的 具体 方法 ， 以 及 指出 验证 和 证 实 的 审查 到 底 
需要 有 多 严格 ， 即 严密 等 级 。 例 如 ， 某 些 项 目 只 需要 对 需求 进行 简单 的 一 致 性 审核 ， 而 另 一 些 则 可 能 要 求 非常 严密 的 审核 


3) 执行 验证 。 此 项 活动 通过 由 测试 、 分 析 、 演 示 和 观察 得 出 的 原始 数据 来 验证 解决 方案 是 否 满 足 工程 安全 要 求 ， 验 证 解决 
方案 本 身 的 正确 性 ， 并 将 在 验证 过 程 中 发 现 的 矛盾 ， 编 制 成 问题 报告 。 此 项 活动 要 求 对 单项 的 工程 安全 需求 和 整体 的 、 系 统 的 工 
程 安 全 需求 都 进行 验证 。 

4) 执行 证 实 。 此 项 活动 通过 展示 系统 能 满足 用 户 的 运行 安全 需求 ， 实 现 对 解决 方案 有 效 性 的 证 实 。 有 许多 种 方法 可 以 用 来 
证 实 这 些 需求 已 被 满足 ， 包 括 在 一 个 运行 着 的 或 有 代表 性 的 测试 环境 中 测试 解决 方案 。 

5) 提供 验证 和 证 实 的 结果 。 应 以 某 种 易 被 理解 和 使 用 的 方式 提供 验证 和 证 实 的 结果 ， 比 如 测试 结论 文档 。 另 外 ， 所 有 结果 
应 具有 可 追溯 性 ， 即 能 够 找到 源头 ， 从 用 户 的 运行 安全 需求 到 工程 安全 需求 ， 到 解决 方案 ， 再 到 测试 结果 ， 均 应 具有 一 致 性 。 

2. 建 立 保障 论据 


建立 保障 论据 区 域 的 目的 是 清楚 地 表明 用 户 的 安全 需求 得 到 满足 。 通 过 证 据 的 收集 ， 建 立 保障 论据 ， 该 论据 应 清楚 地 说 明 用 
户 的 安全 需求 已 经 得 到 满足 ， 通 过 一 系列 证 据 建 立 对 系统 安全 的 信心 。 保 障 论据 是 一 组 得 到 保障 证 据 的 联合 支持 的 保障 目标 陈 


述 ， 这 些 保 障 证 据 可 能 来 自 多 个 方面 和 多 个 抽象 层次 等 级 ， 如 设计 层面 和 实现 层面 。 本 过 程 区 域 包括 以 下 5 项 基本 实施 。 


1) 识别 并 确定 用 户 的 安全 保障 目标 。 由 用 户 确 定 的 保障 目标 ， 确 定 了 在 该 系统 中 所 需 的 信任 等 级 。 新 的 和 经 修改 的 安全 保 
证 目标 的 确定 ， 需 要 保持 与 所 有 内 部 和 外 部 工程 组 织 安 全 相关 团体 的 协调 一 致 。 


2) 制定 安全 保障 战略 。 此 项 活动 的 目的 是 规划 并 确保 正确 地 强制 实现 安全 保障 目标 。 通 过 开发 并 颁布 安全 保障 战略 ， 获 得 
对 保障 相关 活动 的 有 效 管理 ， 获 取 对 用 户 保障 需求 的 理解 并 持续 监视 用 户 保障 需求 满意 度 的 变化 ， 确 保 高 质量 地 实现 所 有 安全 保 
障 目 标 。 


3) 识别 并 控制 保障 证 据 。 按 照 安 全 保障 战略 中 的 定义 和 要 求 收 集 安全 保障 证 据 ， 通 过 与 所 有 安全 工程 过 程 区 域 的 交 豆 ， 识 
别 各 个 抽象 等 级 的 证 据 。 控 制 这 些 证 据 ， 以 确保 所 有 证 据 之 间 的 关联 性 以 及 与 安全 保障 目标 的 关联 性 。 等 保 测试 记录 就 是 保障 证 
据 常见 的 例子 。 


4) 分 析 证 据 。 要 对 安全 保障 证 据 进 行 分 析 ， 以 为 所 收集 的 证 据 提供 满足 安全 目标 的 可 信 度 。 通 过 对 保障 证 据 进 行 分 析 ， 确 
定 系统 安全 工程 和 安全 验证 过 程 是 否 充分 和 足够 完善 ， 以 便 得 出 安全 特性 和 安全 机 制 是 否 令 人 满意 地 实现 的 结论 。 


5) 提供 保障 论据 。 为 了 证 明 系 统 符合 安全 保障 目标 ， 需 要 拿 出 全 面 的 保障 论据 并 提供 给 用 户 。 保 障 论据 是 一 系列 陈述 性 保 
证 目标 ， 每 个 保证 目标 都 得 到 足够 相关 证 据 的 支持 ， 以 满足 适当 的 标准 。 例 如 ， 等 保 测 评 报告 就 是 一 份 保障 论据 。 为 了 证 明 满 足 
安全 保障 目标 ， 必 须 针对 提交 的 证 据 的 缺陷 和 满足 安全 保障 目标 的 缺陷 对 安全 保障 论据 进行 评审 。 


9.3 ”信息 安全 工程 能 


安全 工程 能 力 级 别 是 SSE-CM M 模 型 中 重要 的 一 维 ， 它 表示 了 工程 组 织 实施 工程 过 程 的 能 力 成 熟 度 ， 即 组 织 的 过 程 管理 和 制 
度 化 能 力 的 强 弱 。 能 力 成 熟 度 根据 “公共 特征 ”分 级 ， 公 共 特 征 由 通用 实施 组 成 ， 这 些 通 用 实施 可 在 过 程 评估 中 用 于 确定 任何 过 
程 的 能 力 ， 还 可 以 帮助 确定 项 目 管理 好 坏 的 程度 ， 并 可 将 每 一 个 过 程 区 域 作为 一 个 整体 加 以 改进 。 


一 个 能 力 成 熟 度 级 别 低 的 组 织 ， 其 实施 工程 的 成 本 高 、 生 产 力 低 、 工 程 进 度 慢 并 且 质 量 不 稳定 。 因 此 ， 当 它 作 出 项 目 计划 确 
定 了 成 本 、 进 度 和 质量 后 ， 执 行 的 结果 往往 与 计划 预期 相差 甚 远 。 但 能 力 成 熟 度 级 别 高 的 组 织 执行 的 结果 基本 会 达到 预期 。 
SSE-CMM 包 含 了 从 0~5 依 次 提高 的 6 个 安全 工程 能 力 成 熟 度 级 别 ， 其 整体 结构 如 图 9-9 所 示 。 
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非 正式 执行 人 计划 与 跟踪 充分 定义 景 化 控制 _/ 持续 改进 一 
公共 特征 * 执行 基本 实施 ， 计 划 执 行 ”， 定 义 标准 过 程 ”。 建立 可 测量 的 “改进 组 织 能 力 
A “规范 化 执行 。 协调 安全 实施 。 质量 目标 * 改进 过 程 有 效 性 
* 跟踪 执行 “执行 已 定义 过 程 “客观 地 管理 过 
* 验证 执行 程 的 执行 
图 9-9 ”SSE-CMM 能 力 成 熟 度 级 别 
1. 未 实施 级 


未 实施 级 没有 公共 特征 。 能 力 成 熟 度 处 于 未 实施 级 (0 级 ) 的 组 织 ， 通 常 不 能 成 功 执行 过 程 区 域 中 的 全 部 基本 实施 。 能 力 成 


熟 度 为 0 级 的 过 程 区 域 输出 的 工作 产品 不 易 辨别 或 使 用 。 
能 力 成 熟 度 为 0 级 的 组 织 ， 不 具有 实施 信息 安全 工程 的 基本 能 力 ， 不 适宜 做 为 工程 承建 单位 来 负责 实施 一 项 工程 。 


一 个 过 程 区 域 通常 与 某 一 有 价值 的 安全 工程 服务 相关 。 若 某 一 组 织 在 某 一 过 程 区 域 的 能 力 成 熟 度 为 0 级 ， 则 这 一 组 织 无 法 提 
供 某 一 特定 信息 安全 工程 服务 ， 如 风险 评估 服务 。 


2. 非 正式 执行 级 


非 正式 执行 级 关注 的 是 一 个 组 织 或 项 目 是 否 执行 了 包含 基本 实施 的 过 程 。 这 个 级 别 的 设计 思想 可 以 摘 述 为 “必须 首先 做 它 ， 
然后 才能 管理 它 ”。 


在 这 一 级 别 ， 过 程 区 域 的 基本 实施 均 被 执行 。 但 基本 实施 的 执行 可 能 未 经 严格 的 计划 和 跟踪 ， 即 不 能 控制 执行 效果 ， 效 果 取 
决 于 个 人 的 能 力 ， 能 力 达到 这 一 级 别 的 工程 组 织 ， 执 行 过 程 区 域 具 备 1 个 公共 特征 ， 即 “执行 基本 实施 ”。 


此 公共 特征 的 GP 只 是 保证 过 程 区 域 的 所 有 BP 以 某 种 方式 执行 。 然 而 ， 工 作 产品 的 一 致 性 、 性 能 和 质量 会 因 缺 乏 适 当 控 制 而 
存在 极 大 的 差异 。 


例如 ， 某 单位 要 建 一 个 信息 系统 ， 在 选择 机 房 时 ， 若 评估 安全 风险 这 一 过 程 区 域 中 有 一 项 BP 没有 执行 ， 则 此 过 程 区 域 的 能 
力 成 熟 度 级 别 为 0; 若 执行 了 评估 安全 风险 这 一 过 程 区 域 的 所 有 BP， 但 只 是 做 了 ， 没 有 任何 控制 ， 则 此 过 程 区 域 的 能 力 成 熟 度 级 
别 为 1。 这 一 级 别 过 程 执行 后 输出 结果 的 质量 严重 依赖 于 执行 过 程 个 人 的 知识 、 技 能 和 经 验 。 


3. 计 划 和 跟踪 级 


计划 和 跟踪 级 关注 的 是 在 项 目 层面 是 否 有 相应 的 定义 、 计 划 ， 并 按照 事先 的 定义 和 计划 执行 。 这 个 级 别 的 设计 思想 可 描述 
为 “在 定义 组 织 层面 的 过 程 之 前 ， 先 要 理解 并 做 好 项 目 层面 应 该 执行 的 相关 事项 ”。 


在 这 一 级 别 上 ， 项 目 组 先 制订 计划 和 规范 ， 表 按 计划 和 规范 执行 过 程 区 域 的 基本 实施 并 跟踪 执行 情况 ， 验 证 过 程 区 域 的 执行 
是 否 符合 预期 目标 ， 验 证 工作 产品 能 够 符合 指定 的 需求 。 因 此 ， 与 “ 非 正式 执行 级 ”的 主要 区 别 是 ， 能 力 成 就 度 达到 “计划 与 跟 
踪 级 ”的 组 织 能 够 基于 实际 实施 活动 进行 规划 和 管理 ， 执 行 过 程 区 域 时 具备 以 下 4 个 公共 特征 。 


(1) 规划 执行 


此 公共 特征 的 GP 关注 的 是 对 过 程 区 域 以 及 相关 的 BP 的 执行 进行 规划 。 此 公共 特征 的 通用 实施 涉及 编制 方针 、 标 准 和 规程 等 
过 程 文档 ， 提 供 适 当 的 工具 以 执行 过 程 ， 制 定 过 程 实施 的 计划 ， 并 在 过 程 执 行 中 实施 培训 ， 分 配 过 程 资源 以 及 过 程 执行 的 责任 
等 。 这 些 通用 实施 为 过 程 的 规范 化 执行 提供 了 最 根本 的 基础 。 


(2) 规范 化 执行 


此 公共 特征 的 通用 实施 注重 对 过 程 实施 的 控制 。 因 此 ， 此 公共 特征 的 通用 实施 涉及 使 用 已 经 制定 的 计划 、 标 准 和 规程 来 执行 
过 程 ， 对 过 程 的 输出 进行 版 本 管理 和 配置 管理 等 。 这 些 通用 实施 构成 了 过 程 的 跟踪 执行 的 重要 基础 。 


(3) 跟踪 执行 


此 公共 特征 的 通用 实施 注重 控制 项 目 进 展 的 能 力 。 因 此 ， 此 公共 特征 的 通用 实施 涉及 依据 测量 计划 跟踪 过 程 的 执行 情况 ， 当 
过 程 实施 与 计划 产生 重大 偏离 时 采取 纠正 措施 。 这 些 通用 实施 形成 了 过 程 的 验证 执行 的 重要 基础 。 


(4) 验证 执行 


此 公共 特征 的 通用 实施 注重 确认 过 程 是 否 已 按 预定 的 方式 和 预期 目标 执行 。 此 公共 特征 的 通用 实施 涉及 验证 实施 过 程 是 否 符 


合适 用 的 标准 和 规程 ; 验证 工作 产品 是 否 符合 适用 的 标准 和 要 求 。 这 些 通用 实施 构成 了 达到 充分 定义 级 (3 级 ) 能 力 的 重要 基 
础 。 


还 是 以 机 房 风 险 评估 为 例 ， 若 将 风险 评估 的 规划 、 规 范 化 、 跟 踪 和 验证 活动 的 要 求 都 明确 下 来 并 编制 成 文档 ， 即 使 由 较 年 青 
的 信息 安全 人 员 实 施 风险 评估 ， 只 要 按 这 些 文档 执行 ， 质 量 也 是 会 有 一 定 程度 的 保证 的 ， 因 此 具备 2 级 能 力 的 组 织 执行 过 程 的 结 
果 比 1 级 可 控 。 


4. 充 分 定义 级 

充分 定义 级 着 重 于 合理 裁剪 组 织 层面 的 已 定义 过 程 。 这 个 级 别 的 设计 思想 可 描述 为 “用 从 项 目 中 总 结 出 的 良好 经 验 定 义 组 织 
层面 的 过 程 ”。 

在 这 一 级 别 ， 基 本 实施 按照 充分 定义 的 过 程 执行 。 充 分 定义 的 过 程 是 依据 对 文档 化 的 标准 过 程 进行 裁剪 并 经 批准 的 过 程 版 
本 。 这 一 级 别 与 “计划 和 跟踪 级 ”的 主要 区 别 在 于 使 用 组 织 范围 内 的 过 程 标准 来 规划 和 管理 项 目 ， 能 力 达 到 这 一 级 别 的 组 织 执行 
过 程 区 域 具备 以 下 3 个 公共 特征 。 

(1) 定义 标准 过 程 


此 公共 特征 的 通用 实施 注重 制定 组 织 层面 的 标准 过 程 。 标 准 过 程 的 形成 来 源 于 一 个 或 多 个 相似 过 程 在 特定 项 目 中 的 成 功 应 
用 。 一 个 组 织 机 构 的 标准 过 程 可 能 需要 裁剪 以 适合 于 特定 项 目 在 特定 环境 的 使 用 。 因 此 ， 此 公共 特征 的 通用 实施 涉及 编制 组 织 标 
准 过 程 文档 以 使 过 程 标准 化 ; 裁剪 组 织 的 标准 过 程 ， 以 创建 针对 某 特定 用 途 的 已 定义 过 程 。 这 些 通用 实施 是 执行 已 定义 过 程 的 基 
础 。 


(2) 执行 已 定义 过 程 


此 公共 特征 注重 充分 定义 过 程 的 可 重复 执行 。 因 此 ， 这 个 公共 特征 的 通用 实施 涉及 在 实施 过 程 区 域 的 过 程 中 使 用 已 定义 过 
程 ， 并 对 过 程 区 域 的 相应 工作 产品 执行 缺陷 评审 。 这 些 通 用 实施 是 协调 安全 实施 的 基础 。 


(3) 协调 安全 实施 


此 公共 特征 注重 项 目 和 组 织 中 活动 的 协调 。 许 多 重要 活动 都 是 由 项 目 中 的 不 同 组 和 代表 项 目的 组 织 完成 的 。 缺 乏 协调 将 会 导 
致 进度 延误 和 过 程 结果 没有 可 比 性 。 因 此 ， 应 执行 组 内 协调 ， 在 工程 学 科 内 协调 交流 ; 执行 组 间 协 调 ， 在 本 组 织 内 不 同 的 组 间 协 
调 交流 ; 执行 外 部 协调 ， 进 行 本 组 织 与 外 部 群体 (用户 、 系 统 安 全 认证 组 织 等 ) 的 协调 交流 。 这 些 通 用 实施 是 形成 具备 量化 控制 
级 (4 级 ) 能 力 的 重要 基础 。 


5. 量 化 控制 级 


量化 控制 级 着 重 于 测量 。 测 量 是 与 组 织 业务 目标 紧密 联系 在 一 起 的 。 尽 管 以 前 级 别 的 数据 收集 和 项 目测 量 是 基本 的 活动 ， 但 
只 有 达到 充分 定义 级 别 时 ， 数 据 才 能 在 组 织 范围 内 测量 和 应 用 。 这 个 级 别 的 设计 思想 可 以 摘 述 为 “只 有 知道 它 是 什么 ， 才 能 测量 
它 ” 和 “ 当 测 量 的 对 象 正确 时 ， 基 于 测量 的 管理 才 有 意义 ”。 





收集 并 分 析 过 程 执行 的 详细 测量 项 ， 获 得 对 过 程 能力 和 能 力 改进 的 量化 理解 ， 并 获得 预测 过 程 执行 情况 的 能 力 。 这 一 级 
与 “充分 定义 级 ”的 主要 区 别 在 于 对 已 定义 的 过 程 的 定量 理解 和 控制 ， 能 力 达 到 这 一 级 别 的 工程 组 织 ， 执 行 过 程 区 域 具备 以 下 2 


个 公共 特征 。 


(1) 建立 可 测量 的 质量 目标 


此 公共 特征 的 通用 实施 注重 建立 使 用 组 织 级 过 程 开发 的 工作 产品 的 可 测量 的 质量 目标 。 可 测量 质量 目标 的 建立 是 客观 地 管理 


过 程 执行 的 重要 基础 。 
(2) 客观 地 管理 过 程 的 执行 


此 公共 特征 的 通用 实施 注重 确定 过 程 能 力 的 量化 测量 项 ， 并 使 用 测量 项 进行 量化 测量 来 管理 这 一 过 程 。 即 要 求 定 量 地 确定 已 
定义 过 程 的 过 程 能 力 ， 并 在 过 程 的 执行 没有 达到 过 程 能 力 要 求 的 情况 下 采取 适当 的 纠正 措施 。 这 些 通用 实施 是 形成 具有 持续 改进 
能 力 的 一 个 至 关 重要 的 基础 。 





还 是 以 机 房 建设 为 例 ， 要 求 所 有 的 控制 都 可 以 度量 。 如 机 房 防水 控制 ， 能 力 成 熟 度 为 3 级 的 组 织 可 能 就 只 看 房 顶 有 没有 水 
管 ，4 级 的 组 织 则 要 测量 水 管 有 多 长 、 多 粗 ， 以 确定 具体 的 防水 措施 来 应 对 可 能 的 漏水 量 。 又 如 ， 对 于 麦当劳 、 肯 德 基 等 大 型 快 
餐 店 ， 在 任何 一 个 分 店 购买 的 相同 汉堡 ， 口 感 基本 一 样 ， 主 要 是 量化 控制 的 结果 ， 如 材料 的 量化 控制 、 油 温 的 量化 控制 等 。 有 了 
量化 指标 ， 质 量 就 更 好 控制 了 。 


6 .持续 改进 级 


“没有 最 好 ， 只 有 更 好 ” ， “完美 是 追求 的 一 种 境界 ”。 这 个 级 别 从 前 面 各 级 所 有 管理 活动 的 经 验 中 获得 发 展 的 力量 ， 并 通 
过 加 强 组 织 文化 来 保持 这 个 力量 。 此 方法 强调 文化 的 转变 ， 这 种 转变 又 将 使 方法 更 有 效 。 这 个 级 别 的 设计 思想 可 以 描述 为 “一 种 
寺 续 改进 的 文化 需要 以 完备 的 管理 实施 、 已 定义 的 过 程 和 可 测量 的 目标 作为 基础 ”。 


在 这 个 级 别 上 ， 基 于 组 织 的 业务 目标 并 针对 过 程 有 效 性 和 效率 建立 量化 执行 目标 。 通 过 执行 已 定义 过 程 和 运用 创新 的 思想 和 
技术 并 获得 量化 反馈 来 针对 这 些 目 标 持续 改进 过 程 。 这 一 级 与 “量化 控制 级 ”的 主要 区 别 在 于 已 定义 过 程 和 标准 过 程 基 于 对 过 程 
变化 效果 的 量化 理解 得 到 持续 调整 和 改进 ， 能 力 达 到 这 一 级 别 的 工程 组 织 ， 执 行 过 程 区 域 具备 以 下 2 个 公共 特征 。 


(1) 改进 组 织 能 力 


此 公共 特征 的 通用 实施 注重 在 整个 组 织 范围 内 对 标准 过 程 的 使 用 进行 比较 ， 发 现 不 同 项 目 使 用 标准 过 程 之 间 的 区 别 。 当 使 用 
这 些 过 程 时 ， 分 析 产 生 的 缺陷 以 识别 对 标准 过 程 的 可 能 改进 。 因 此 ， 此 公共 特征 的 通用 实施 涉及 建立 过 程 有 效 性 目标 、 识 别 对 标 
准 过 程 的 可 改进 处 并 分 析 对 标准 过 程 的 可 能 变更 以 持续 改进 标准 过 程 。 这 些 通用 实施 构成 了 改进 过 程 有 效 性 的 必要 基础 。 


(2) 改进 过 程 有 效 性 


此 公共 特征 的 通用 实施 注重 使 标准 过 程 处 于 受 控 的 持续 改进 状态 。 因 此 ， 此 公共 特征 的 通用 实施 涉及 消除 已 定义 过 程 产生 缺 
陷 的 原因 ， 并 通过 改进 已 定义 过 程 来 持续 地 改进 过 程 性 能 ， 以 增强 其 有 效 性 。 


7. 评 佑 能力 成 熟 度 级 别 


在 评估 和 改进 组 织 过 程 能 力 时 ， 公 共 特 征 和 能 力 级 别 都 是 重要 的 。 当 评估 组 织 能 力 时 ， 如 果 这 个 组 织 在 执行 特定 过 程 区 域 时 
只 具备 了 一 个 特定 级 别 的 部 分 公共 特征 时 ， 则 这 个 组 织 在 这 个 过 程 区 域 的 能 力 成 熟 度 达 不 到 这 一 级 别 。 例 如 ， 在 执行 “评估 脆弱 
性 ”这 一 过 程 区 域 时 ， 具 备 了 2 级 能 力 成 熟 度 级 别 的 “规划 执行 ”、“ 规 范 化 执行 ”、 “跟踪 执行 ”的 特征 ， 如 果 缺 乏 “ 验 证 执 
行 ”这 一 公共 特征 ， 那 么 ， 组 织 在 “评估 脆弱 性 ”这 一 过 程 区 域 的 能 力 成 熟 度 达 不 到 2 级 。 另 外 ， 如 果 组 织 在 实施 过 程 区 域 时 虽 
然 具 备 了 某 一 较 高 级 别 的 所 有 公共 特征 ， 但 不 具备 低级 别 的 公共 特征 时 ， 则 这 个 组 织 不 能 获得 较 高 级 别 的 所 有 收益 ， 此 组 织 的 能 
力 成 熟 度 实际 上 也 是 达 不 到 这 一 较 高 级 别 。 


由 于 上 述 原因 ，SSE-CM M 的 通用 实施 和 公共 特征 按 能 力 高 低 进行 排序 。 当 一 个 组 织 希 望 改进 某 个 特定 过 程 的 能 力 时 ， 各 能 
力 级 别 的 公共 特征 包含 的 通用 实施 活动 可 为 组 织 机 构 提供 一 个 “能 力 改进 路 线 图 ”。 


对 每 一 个 过 程 区 域 的 能 力 成 熟 度 级 别 的 确定 ， 均 需 执行 一 次 评 佑 过程。 这 意味 着 组 织 在 不 同 的 过 程 区 域 的 能 力 成 熟 度 可 能 处 
于 不 同 的 级 别 上 。 组 织 可 利用 这 个 面向 过 程 区 域 的 评估 结果 促进 这 些 过 程 的 改进 。 组 织 在 确定 改进 过 程 活动 的 优先 级 和 顺序 时 应 


考虑 组 织 的 业务 目标 。 组 织 的 业务 目标 是 使 用 SSE-CM M 来 改进 组 织 工程 能 力 的 主要 驱动 力 。 


9.4 SSE-CMM 评 估 方 法 


系统 安全 工程 能 力 成 熟 度 模型 评估 方法 是 专门 基于 SSE-CMM 的 评估 方法 。 它 包含 评估 一 个 信息 安全 工程 组 织 的 工程 过 程 能 
力 成 熟 度 所 必需 的 信息 及 指南 。 该 方法 既 可 用 于 组 织 级 的 评估 ， 也 可 用 于 项 目 级 的 评 佑 。 


SSAM 使 用 多 重 数据 采集 方法 获得 被 评估 组 织 或 项 目 实施 过 程 的 相关 信息 ， 目 的 在 于 取得 一 个 真实 的 实施 基线 或 基准 ,创建 
并 支持 用 于 改进 的 要 素 。 


常规 的 数据 采集 方法 有 问卷 、 访 谈 和 证 据 评审 3 种 。SSAM 评 估 过 程 分 为 规划 、 准 备 、 现 场 和 报告 4 个 阶段 ， 每 个 阶段 的 具体 
活动 如 图 9-10 所 示 。 


规划 阶段 
准备 阶段 































证 范 上 现场 阶段 
. 评定 计划 . 成 立 评定 组 报告 阶段 
. 分 发 调查 表 . 制作 领导 简报 / i 
. 合并 证 物 召开 启动 会 . 编制 最 终 报告 
. 分 析 证 物 和 . 采访 领导 / . 向 发 起 者 报告 
凋 查 表 专业 人 员 评定 结果 
. 分 析 数 据 . 管理 评定 实物 
. 确定 调查 结果 . 报告 取得 的 经 
. 产生 排 定 等 级 验 教训 
的 轮 忆 





“ 管理 记录 





图 9-10 SSAM 评 估 过 程 


规划 阶段 主要 是 为 评估 实施 建立 框架 及 为 后 续 阶 段 制订 计划 ; 准备 阶段 为 现场 活动 成 立 评估 小 组 ， 编 写 并 分 发 调查 表 ， 通 过 
调查 表 初 步 采集 和 分 析 数 据 ; 现场 阶段 主要 是 召开 项 目 启 动 会 ， 去 现场 采集 数据 ， 并 对 数据 进行 初步 分 析 ， 并 确定 调查 ; 报告 阶 
段 主要 是 评估 小 组 对 在 此 前 的 3 个 阶段 中 采集 到 的 所 有 数据 进行 最 终 分 析 ， 并 将 调查 结果 呈送 给 发 起 者 。 


安全 评估 的 主要 工作 成 果 是 调查 结果 简报 和 评 佑 报告。 调查 结果 简报 包括 评分 轮廓 和 调查 结果 列表 。 评 分 轮廓 表明 机 构 每 一 
个 PA 的 能 力 成 熟 度 等 级 ， 调 查 结果 说 明 被 评估 机 构 的 强项 和 弱项 ， 通 常 它 是 为 发 起 者 而 编制 的 ， 但 是 在 发 起 者 的 要 求 下 也 可 以 
交 给 被 评 佑 组织。 评估 报告 只 提交 给 发 起 者 ， 其 中 包括 有 关 每 个 调查 结果 的 附加 细节 ， 以 及 发 起 者 所 需 的 调查 结果 暗示 的 问题 。 
此 外 ， 应 按照 发 起 者 的 要 求 分 发 最 终 报告 。 


饵 
uk 
阅 


1. 在 SSE-CMM 中 ， 域 维 包括 哪 几 个 过 程 类 ”它们 之 间 的 关系 如 何 ? 
2. 在 SSE-CMM 中 ， 安 全 工程 过 程 类 的 PA 包 括 哪 几 个 领域 ”它们 之 间 的 关系 如 何 ? 


3. 如 何 用 SSE-CMM 来 评估 一 个 信息 安全 工程 实施 组 织 的 信息 安全 工程 能 力 ? 


第 10 草 ”信息 安全 法 规 与 政策 


阅读 提示 ”信息 安全 法 规 与 政策 环境 是 构建 我 国信 息 安全 保障 体系 的 要 素 之 一 。 本 章 主 要 介绍 信息 安全 相关 法 规 和 政策 ， 以 


期 读者 能 够 理解 信息 安全 法 律 、 法 规 、 规 章 和 政策 的 重要 性 ， 掌 握 我 国 重要 信息 安全 法 律 、 法 规 、 规 章 和 政策 的 有 关 要 求 ， 了 解 
与 各 自行 业 和 地 方 相关 的 法 规 、 规 章 和 政策 的 要 求 ， 能 够 遵循 相应 法 律 、 法 规 、 规 章 和 政策 的 要 求 ， 在 其 保护 和 约束 下 开展 信息 
安全 保障 工作 。 


10.1 ”信息 安全 法 规 


在 我 国信 息 安全 保障 体系 构成 要 素 中 ， 信 息 安全 法 律 法 规 与 政策 为 其 他 要 素 、 为 信息 安全 保障 体系 提供 必要 的 环境 保障 和 支 
撑 ， 是 我 国信 息 安全 保障 体系 的 顶层 设计 ， 对 切实 加 强 信息 安全 保障 工作 、 全 面 提 升 信息 安全 保障 能 力 具有 重要 意义 。 信 息 安 全 
法 律 法 规 的 制定 和 发 布 ， 强 烈 体现 出 我 国 已 经 将 重要 信息 、 信 息 系统 视 为 战略 资源 进行 保护 的 国家 意志 。 


10.1.1 ”我 国信 息 安 全 法 规 体系 框架 


经 过 十 多 年 的 发 展 ， 目 前 我 国 现行 法 律 法 规 及 规章 中 ， 与 信息 安全 有 关 的 已 有 近 百 部 ， 它 们 涉及 网 络 与 信息 系统 安全 、 信 息 
内 容 安全 、 信 息 安 全 系统 与 产品 、 保 密 及 密码 管理 、 计 算 机 病毒 与 危害 性 程序 防治 、 金 融 等 特定 领域 的 信息 安全 、 信 息 安全 犯罪 
制裁 等 多 个 领域 。 文 件 形式 涵盖 法 律 、 有 关 法 律 问 题 的 决定 、 司 法 解释 及 相关 文件 、 行 政法 规 、 法 规 性 文件 、 部 门 规章 及 相关 文 
件 、 地 方 性 法 规 与 地 方 政府 规章 及 相关 文件 等 ， 初 步 形 成 我 国信 息 安全 法 律 体系 。 当 然 ， 这 一 体系 还 不 完善 ， 尤 其 是 缺少 一 部 信 
息 安 全 基本 法 ， 在 一 些 信息 化 的 具体 应 用 领域 ， 还 缺乏 可 操作 措施 ， 有 待 于 国家 通过 进一步 立法 来 解决 。 


信息 安全 涉及 国家 安全 ， 信 息 安 全 工作 关系 到 国家 安危 ， 这 就 必然 需要 通过 信息 安全 法 制 建 设 ， 从 国家 层面 给 予 有 力 保障 和 
强制 约束 。 


言 息 安 全 法 律 环境 是 信息 安全 保障 体系 中 的 必要 环节 。 在 我 国信 息 安全 保障 体系 的 建设 中 ， 法 律 环境 的 建设 至 关 重 要 。 信 息 
安全 的 基本 原则 和 基本 制度 ， 信 息 安全 事务 中 各 方 权利 义务 的 明确 ， 信 息 安全 违规 行为 及 相应 的 处 罚 等 ， 都 需要 通过 相关 法 律 法 
规 予 以 明确 。 有 了 完善 的 信息 安全 法 律 体系 ， 严 格 司法 、 执 法 的 保障 环境 ， 以 及 广大 机 关 、 企 事业 单位 和 个 人 对 法 律 规定 的 遵守 
及 应 尽 义务 的 履行 ， 才 可 能 保障 国家 、 经 济 建 设 和 信息 化 事业 的 安全 。 


保护 国家 信息 主权 和 社会 公共 利益 是 信息 安全 立法 的 首要 目标 。 信 息 安 全 不 再 只 是 单纯 的 技术 问题 ， 而 更 多 地 涉及 到 商业 和 


法 律 问题 。 另 一 方面 ， 随 着 信息 安全 产业 的 逐渐 成 熟 ， 也 有 必要 通过 各 种 法 律 进行 强制 约束 与 规范 。 


我 国 实行 多 级 立法 的 法 律 体系 ， 法 律 、 行 政法 规 、 地 方 性 法 规 、 自 治 条 例 和 单行 条 例 、 部 门 规章 和 地 方 规章 ， 共 同 构成 了 完 
法 统领 下 的 统一 法 律 体系 ， 如 图 10-1 所 示 。 
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图 10-1 我 国 的 多 级 立法 体系 结构 


全 国人 民 代表 大 会 和 全 国人 民 代 表 大 会 常务 委员 会 行使 国家 立法 权 。 全 国人 民 代 表 大 会 制定 和 修改 刑事 、 民 事 、 国 家 机 构 及 
其 他 基本 法 律 。 全 国人 民 代表 大 会 常务 委员 会 制定 和 修改 除 应 当 由 全 国人 民 代表 大 会 制定 的 法 律 以 外 的 其 他 法 律 ， 在 全 国人 民 代 
表 大 会 闭会 期 间 ， 对 全 国人 民 代 表 大 会 制定 的 法 律 进行 部 分 补充 和 修改 。 


国务 院 根据 完 法 和 法 律 ， 制 定 行政 法 规 。 行 政法 规 可 以 就 下 列 事项 作出 规定 : 一 是 为 执行 法 律 的 规定 需要 制定 行政 法 规 的 事 
项 ; 二 是 完 法 第 八 十 九条 规定 的 国务 院 行政 管理 职权 的 事项 。 应 当 由 全 国人 民 代表 大 会 及 其 常务 委员 会 制定 法 律 的 事项 ， 国 务 院 
根据 全 国人 民 代表 大 会 及 其 常务 委员 会 的 授权 决定 先 制定 的 行政 法 规 ， 经 过 实践 检验 ， 制 定 法 律 的 条 件 成 熟 时 ， 国 务 院 应 当 及 时 
提请 全 国人 民 代表 大 会 及 其 常务 委员 会 制定 法 律 。 


省 、 自 治 区 、 直 辖 市 的 人 民 代表 大 会 及 其 常务 委员 会 根据 本 行政 区 域 的 具体 情况 和 实际 需要 ， 在 不 与 完 法 、 法 律 、 行 政法 规 
相抵 触 的 前 提 下 ， 可 以 制定 地 方 性 法 规 。 


国务 院 各 部 、 委 员 会 、 中 国人 民 银 行 、 审 计 署 和 具有 行政 管理 职能 的 直属 机 构 ， 可 以 根据 法 律 和 国务 院 的 行政 法 规 、 决 定 、 
命令 ， 在 本 部 门 的 权限 范围 内 制定 规章 。 部 门 规章 规定 的 事项 应 当 属于 执行 法 律 或 者 国务 院 的 行政 法 规 、 决 定 、 命 令 的 事项 。 


省 、 自 治 区 、 直 辖 市 和 较 大 市 的 人 民政 府 ， 可 以 根据 法 律 、 行 政法 规 和 本 省 、 自 治 区 、 直 辖 市 的 地 方 性 法 规制 定 规章 。 


宪法 具有 最 高 的 法 律 效 力 ， 一 切 法 律 、 行 政法 规 、 地 方 性 法 规 、 自 治 条 例 和 单行 条 例 、 规 章 都 不 得 同 完 法 相抵 触 。 法 律 的 效 
力 高 于 行政 法 规 、 地 方 性 法 规 、 规 章 。 行 政法 规 的 效力 高 于 地 方 性 法 规 、 规 章 。 地 方 性 法 规 的 效力 高 于 本 级 和 下 级 地 方 政府 规 


时。 


自治 条 例 和 单行 条 例 依法 对 法 律 、 行 政法 规 、 地 方 性 法 规 作 变通 规定 的 ， 在 本 自治 地 方 适用 自治 条 例 和 单行 条 例 的 规定 。 经 
济 特区 法 规 根据 授权 对 法 律 、 行 政法 规 、 地 方 性 法 规 作 变通 规定 的 ， 在 本 经 济 特区 适用 经 济 特区 法 规 的 规定 。 


在 多 级 立法 的 体制 下 ,我 国 已 经 先后 颁布 了 一 些 包含 信息 安全 相关 内 容 的 法 律 、 法 规 、 规 章 等 。 在 法 律 方面 ， 国 家 基本 法 
《中 华人 民 共 和 国 宪法 》 规 定 了 有 关 信 息 安全 最 基本 的 内 容 ， 根 据 宪法 制定 的 其 他 法 律 ， 如 《中 华人 民 共 和 国 刑法 》、《 中 华人 
民 共 和 国 国 家 安全 法 》、《 中 华人 民 共 和 国保 守 国家 秘密 法 》、《 电 子 签名 法 》 等 ， 也 对 与 信息 安全 相关 的 不 同方 面 做 出 了 规 
定 。 在 行政 法 规 方面 ， 我 国 颁布 了 《计算 机 信息 系统 安全 保护 条 例 》、《 互 联网 信息 服务 管理 办 法 》、《 商 用 密码 管理 条 例 》 


等 。 在 部 门 规章 方面 ， 公 安 部 颁布 了 《计算 机 信息 系统 安全 专用 产品 检测 和 销售 许可 证 管理 办 法 》、《 信 息 安 全 等 级 保护 管理 办 
法 》 等 一 系列 与 安全 有 关 的 规章 ; 原 信息 产业 部 颁布 了 《中 国 互联 网 络 域名 管理 办 法 》 等 规章 ; 国家 保密 局 颁布 了 《计算 机 信息 
系统 国际 联网 保密 管理 规定 》 等 一 系列 与 保密 管理 相关 的 规章 ; 国家 密码 管理 局 颁布 了 一 系列 与 密码 产品 管控 相关 的 规章 ; 新 闻 
出 版 总 署 等 其 他 部 委 也 出 台 了 一 些 信息 安全 相关 的 规章 。 一 些 地 方 人 大 及 其 常委 会 、 地 方 人 民政 府 还 出 台 了 一 些 与 信息 安全 相关 
的 方 性 法 规 和 地 方 政府 规章 ， 地 方 性 法 规 如 《北京 市 信息 化 促进 条 例 》、《 辽 宁 省 计算 机 信息 系统 安全 管理 条 例 》 等 ， 地 方 性 政 
府 规章 如 《北京 市 公共 服务 网 络 与 信息 系统 安全 管理 规定 》、《 上 海 市 公共 信息 系统 安全 测评 管理 办 法 》 等 。 
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图 10-2 ”我 国信 息 安 全 法 律 法 规 体系 框架 


回顾 信息 安全 相关 法 规 的 发 展 历程 可 以 友 现 ， 在 不 同 的 历史 阶段 ， 我 国信 息 安全 立法 的 侧重 点 有 所 不 同 ， 整 体 趋势 是 从 关注 
通信 保密 安全 到 关注 计算 机 系统 安全 ， 然 后 演变 为 天 注 网 络 信息 系统 安全 。 


1989 年 我 国 颁布 了 《中 华人 民 共 和 国保 守 国家 秘密 法 》，1991 年 原 劳动 部 出 台 了 《全 国 劳动 管理 信息 计算 机 系统 病毒 防治 
规定 》。1994 年 ， 国 务 院 颁布 了 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》， 该 条 例 规定 了 计算 机 信息 系统 安全 保护 的 
主管 机 关 、 安 全 保护 制度 、 安 全 监管 等 。 从 1994 年 之 后 ， 我 国信 息 安 全 法 律 法 规 体 系 进入 了 快速 发 展 阶段 ， 一 大 批 相 关 法 律 法 
规 先后 出 台 ， 如 《计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 》、《 计 算 机 信息 系统 保密 管理 暂行 规定 》、《 商 用 密码 管理 条 
例 》、《 人 金融 机 构 计算 机 信息 安全 保护 工作 暂行 规定 》 等 。 










通信 保密 安全 网 络 信息 系统 安全 








1994 年 2000 年 2003 年 
保守 国家 秘密 法 ( 1989 ) 计算 机 信息 系统 安全 保护 条 例 关于 维护 互联 网 安全 的 决定 
( 2010 年 修订 ) ( 1994 ) ( 2000 ) 

中 央 关 于 加 强 窒 码 工作 的 计算 机 信息 系统 安全 专用 产品 检测 互联 网 信息 服务 管理 办 法 、 
决定 、 计 算 机 信息 系统 安全 | | 和 销售 许可 证 管理 办 法 、 计 算 机 信息 | | 计算 机 病毒 防治 管理 办 法 、 
保护 条 例 (草案 ) 网 络 国际 联网 安全 保护 管理 办 法 、 计 | | 计算 机 信息 系统 国际 联网 保 

算 机 信息 系统 保密 管理 暂行 规定 、 商 | | 警 管 理 规定 
用 密码 管理 条 例 




















/ 四 . | 四 wy . 所 
\《 国 家 信息 化 领导 小 组 关 于 加 强 信息 安全 保障 工作 的 意见 》〔 中 办 发 【2003】27 号 ) 有 





图 10-3 ”我 国信 息 安 全 法 律 体系 发 展 历程 


2000 年 12 月 28 日 《全 国人 民 代表 大 会 常务 委员 会 天 于 维护 互联 网 安全 的 决定 》 出 台 ， 规 定 了 一 系列 禁止 利用 互联 网 从 事 危 
害 国 家 、 单 位 和 个 人 合法 权益 的 活动 。 这 个 阶段 更 加 重视 网 络 及 互联 网 安全 ， 也 更 加 重视 信息 内 容 安全 ， 颁 布 的 法 律 法 规 有 《 互 
联网 信息 服务 管理 办 法 》、《 计 算 机 信息 系统 国际 联网 保密 管理 规定 》、《 计 算 机 病毒 防治 管理 办 法 》 等 。 


2003 年 7 月 国家 信息 化 领导 小 组 第 三 次 会 议 通 过 了 《国家 信息 化 领导 小 组 关于 加 强 信息 安全 保障 工作 的 意见 》 (中 办 发 
[2003]27 号 ) 。 该 意见 明确 了 加 强 信息 安全 保障 工作 的 总 体 要求 和 主要 原则 ， 确 定 了 多 个 工作 重点 ， 包 括 实 行 信息 安全 等 级 保 
护 ， 加 强 以 密码 技术 为 基础 的 信息 保护 和 网 络 信任 体系 建设 ， 建 设 和 完善 信息 安全 监控 体系 等 。 这 一 阶段 有 代表 性 的 法 律 法 规 包 
括 《 电 子 签名 法 》、《 电 子 认证 服务 管理 办 法 》 等 。 


10.1.2 ”信息 安全 相关 国家 法 律 


我 国信 息 安全 法 律 主 要 分 为 保护 国家 敏感 信息 安全 、 打 击 网 络 违法 犯罪 行为 ， 以 及 管理 信息 安全 相关 事项 三 种 类 型 。 
1. 信 息 保护 相关 法 律 

对 于 国家 秘密 、 商 业 秘密 以 及 个 人 信息 ， 各 个 国家 都 制定 了 法 规 加 以 保护 ， 我 国 也 不 例外 。 

(1) 保护 国家 秘密 相关 法 律 


国家 秘密 是 关系 国家 安全 和 利益 ， 依 照 法 定 程序 确定 ， 在 一 定时 间 内 只 限 一 定 范围 的 人 员 知 悉 的 事项 。 国 家 秘密 必须 具备 三 
个 要 素 ， 三 者 缺 一 不 可 。 第 一 个 要 素 ， 是 关系 国家 安全 和 利益 ， 这 是 构成 国家 秘密 的 实质 要 素 。 国 家 安全 和 利益 ， 主 要 包括 国家 
领土 完整 、 主权 独立 不 受 侵 犯 ， 国 家 经 济 秩 序 、 社 会 秩序 不 受 破坏 ; 公民 生命 、 生 活 不 受 侵害 ; 民族 文化 价值 和 传统 不 受 破坏 
等 。 第 二 个 要 素 ， 是 依照 法 定 程序 确定 ， 这 是 构成 国家 秘密 的 程序 要 素 。 确 定 国家 秘密 是 一 种 法 定 行为 ， 必 须 严格 依照 法 定 程序 
进行 。 依 照 法 定 程序 ， 是 指 根据 定 密 权限 ， 按 照 国 家 秘密 及 其 密级 具体 范围 的 规定 ， 确 定 国家 秘密 的 密级 、 保 密 期 限 、 知 悉 范 
围 ， 并 做 出 国家 秘密 标志 ， 做 到 权限 法 定 、 依 据 法 定 、 内 容 法 定 和 标志 法 定 。 第 三 个 要 素 ， 是 在 一 定时 间 内 只 限 一 定 范围 的 人 员 
知悉 ， 这 是 构成 国家 秘密 的 时 空 要 素 。 在 一 定时 间 内 ， 表 明 国家 秘密 有 一 个 从 产生 到 解除 的 过 程 ， 不 是 一 成 不 变 的 ; 只 限 一 定 范 
围 的 人 员 知 悉 ， 表 明 国 家 秘密 应 当 且 能 够 限定 在 一 个 可 控制 的 学 围 内 ， 这 也 是 秘密 之 所 以 能 成 为 秘密 、 能 称 之 为 秘密 的 关键 所 


国家 秘密 的 基本 范围 主要 包括 产生 于 政治 、 国 防 军事 、 外 交 外 事 、 经 济 、 科 技 和 政法 等 领域 的 秘密 事项 。 具 体 说 来 ， 国 家 秘 
密 包括 国家 事务 重大 决策 中 的 秘密 事项 、 国 防 建设 和 武装 力量 活动 中 的 秘密 事项 、 外 交 和 外 事 活动 中 的 秘密 事项 以 及 对 外 承担 保 
密 义 务 的 秘密 事项 、 国 民 经 济 和 社会 发 展 中 的 秘密 事项 、 科 学 技术 中 的 秘密 事项 、 维 护 国 家 安全 活动 和 追查 刑事 犯罪 中 的 秘密 事 
项 、 党 政 秘密 中 符合 上 述 各 项 内 容 的 事项 ， 以 及 其 他 经 国家 保密 行政 管理 部 门 确定 的 秘密 事项 。 


国家 秘密 的 密级 ， 按 照 国家 秘密 事项 与 国家 安全 和 利益 的 天 联 程序 ， 以 及 泄露 后 可 能 造成 的 损害 程度 为 标准 ， 划 分 为 绝密 、 
机 密 、 秘 密 三 级 。 绝 密级 国家 秘密 是 最 重要 的 国家 秘密 ， 港 露 会 使 国家 安全 和 利益 遭受 特别 严重 的 损害 ;机 密级 国家 秘密 是 重要 
的 国家 秘密 ， 泄 露 会 使 国家 安全 和 利益 遭受 严重 的 损害 ; 秘密 级 国家 秘密 是 一 般 的 国家 秘密 ， 泄 露 会 使 国家 安全 和 利益 遭受 损 
害 。 特 别 严重 的 损害 ， 一 般 是 指 泄露 后 会 破坏 国家 主权 和 领土 完整 ， 威 胁 国家 政权 巩固 ， 或 者 使 国家 政治 、 经 济 利益 等 遭受 巨大 
损失 ， 其 影响 一 般 是 全 局 性 、 战 略 性 的 。 严 重 的 损害 ， 一 般 是 指 泄露 后 会 使 某 一 领域 内 的 国家 安全 和 利益 遭受 重大 损失 ， 其 影响 
一 般 是 较 大 范围 的 。 损 害 ， 一 般 是 指 泄露 后 会 使 某 一 方面 的 国家 安全 利益 遭受 损失 ， 其 影响 一 般 是 局 部 性 的 。 


国家 秘密 的 保密 期 限 ， 除 另 有 规定 外 ， 绝 密级 不 超过 三 十 年 ， 机 密级 不 超过 二 十 年 ， 秘 密级 不 超过 十 年 。 另 有 规定 ， 主 要 是 
由 在 保密 事项 范围 中 明确 规定 某 类 国家 秘密 事项 保密 期 限 为 “长 期 ”的 情况 ， 这 些 国家 秘密 事项 具有 较 强 的 稳定 性 ， 长 期 关系 国 
家 安全 和 利益 ， 即 使 确定 为 三 十 年 的 最 长 保密 期 限 ， 也 难以 满足 保密 需求 。 对 不 能 确定 保密 期 限 的 国家 秘密 ， 应 当 确 定 解密 条 
件 。 


国家 秘密 受 法 律 保护 。 由 于 国家 秘密 直接 关系 国家 安全 和 利益 ， 必 须 受到 法 律 保护 ， 各 国都 十 分 重视 从 法 律 层面 对 国家 秘密 
加 以 保护 ， 我 国 也 不 例外 。 我 国 对 国家 秘密 进行 保护 、 对 危害 国家 秘密 安全 的 行为 进行 禁止 和 处 罚 的 法 律 主 要 包括 《中 华人 民 共 
和 国保 守 国 家 秘密 法 》 (以 下 简称 《保密 法 》) 、《 中 华人 民 共 和 国 刑法 》 (以 下 简称 《刑法 》) 。《 保 密 法 》 对 我 国 国家 秘密 
的 定 密 程序 、 解 密 制度 和 保密 期 限 等 作出 了 明确 规定 ， 明 确 了 国家 秘密 相关 的 保密 制度 ， 明 确 了 国家 秘密 的 监督 管理 部 门 ， 明 确 
了 对 危害 国家 秘密 安全 的 行为 要 追究 的 法 律 责任 。《 刑 法 》 明 确 了 危害 国家 秘密 安全 的 犯罪 行为 及 相应 的 刑事 责任 。 另 外 ，《 中 
华人 民 共 和 国 国家 安全 法 》、《 中 华人 民 共 和 国 军事 设施 保护 法 》、《 中 华人 民 共 和 国 统计 法 》、《 中 华人 民 共 和 国 专利 法 》、 
《全 国人 民 代表 大 会 常务 委员 会 天 于 维护 互联 网 安全 的 决定 》 等 法 律 也 都 有 相应 条 款 明确 规定 了 对 泄露 国家 秘密 的 犯罪 行为 的 刑 
事 处 罚 、 对 危害 国家 秘密 安全 的 违法 行为 的 法 律 责任 。 这 些 法 律 构成 了 我 国 国家 秘密 在 刑事 层面 的 法 律 保 护 体系 。 任 何 危害 国家 
秘密 安全 的 行为 ， 都 必须 依法 追究 责任 。 危 害 国家 秘密 安全 的 行为 ， 主 要 包括 以 下 几 类 。 


1) 严重 违反 保密 规定 行为 : 


严重 违反 保密 规定 行为 是 可 能 导致 保密 措施 失效 ， 国 家 秘密 失控 ， 保 密 技术 防护 体系 受到 破坏 ， 国 家 秘密 安全 遭受 严重 威胁 
的 行为 。 严 重 违反 保密 规定 行为 只 要 发 生 ， 无 论 是 否 产生 泄密 实际 后 果 ， 都 要 依法 追究 责任 。 严 重 违 反 保密 规定 行为 又 可 分 为 以 
下 几 类 。@ 违 反 涉 密 信息 系统 和 信息 设备 保密 管理 规定 的 行为 ， 包 括 : 将 涉 密 计算 机 、 涉 密 存储 设备 接 入 互联 网 及 其 他 公共 信息 
网 络 ; 在 未 采取 防护 措施 的 情况 下 ， 在 涉 密 信息 系统 与 互联 网 及 其 他 公共 信息 网 络 之 间 进 行 信息 交换 ; 使 用 非 涉 密 计算 机 、 非 涉 
密 存储 设备 存储 、 处 理 国家 秘密 信息 ; 擅自 卸载 、 修 改 涉 密 信息 系统 的 安全 技术 程序 、 管 理 程序 ;将 未 经 安全 技术 处 理 的 、 退 出 
使 用 的 涉 密 计算 机 、 涉 密 存 储 设备 赠送 、 出 售 、 丢 弃 或 者 改作 其 他 用 途 。@ 违 反 国 家 秘密 载体 管理 规定 的 行为 ， 包 括 : 非法 获 
取 、 持 有 国家 秘密 载体 ; 买卖、 转送 或 者 私自 销毁 国家 秘密 载体 ; 通过 普通 邮政 、 快 递 等 无 保密 措施 的 渠道 传递 国家 秘密 载体 ; 
邮寄 、 托 运 国家 秘密 载体 出 境 ， 或 者 未 经 有 关 主 管 部 门 批准 ， 携 带 、 传 递 国家 秘密 载体 出 境 。@@ 违 反 国家 秘密 信息 管理 规定 的 行 
为 ， 包括: 非法 复制 、 记 录 、 人 存储 国家 秘密 ; 在 私人 交往 和 通信 中 涉及 国家 秘密 ; 在 互联 网 及 其 他 公共 信息 网 络 或 者 未 采取 保密 
措施 的 有 线 和 无 线 通信 中 传递 国家 秘密 。 


2) 定 密 不 当 行为 : 


定 密 不 当 包括 对 应 当 定 密 的 事项 不 定 密 ， 或 者 对 不 应 当 定 密 的 事项 定 密 。 对 应 当 定 密 的 事项 不 定 密 ， 可 能 导致 国家 秘密 失去 


保护 ， 造 成 泄密 ;对 不 应 当 定 密 的 事项 定 密 ， 会 严重 影响 信息 资源 合理 利用 ， 可 能 造成 较 大 负面 影响 。 
3) 公共 信息 网 络 运营 商 、 服 务 商 不 履行 保密 义务 的 行为 : 


这 类 行为 包括 : 互联 网 及 其 他 公共 信息 网 络 运营 商 、 服 务 商 没 有 履行 配合 公安 机 关 、 国 家 安全 机 天、 检察 机 关 对 泄密 案件 进 
行 调查 的 义务 ; 发 现 发 布 的 信息 涉及 泄露 国家 秘密 ， 没 有 立即 停止 传输 和 保存 客户 发 布 信息 的 内 容 及 有 关 情 况 记 录 ， 并 及 时 向 公 
安 机 关 、 国 家 安全 机 天、 保密 行政 管理 部 门 报告 ; 没有 按照 公安 机 关 、 国 家 安全 机 天 、 保 密 行政 管理 部 门 的 要 求 ， 及 时 对 互联 网 
或 公共 信息 网 上 发 布 的 涉 密 信息 予以 删除 ， 致 使 涉 密 信 息 继 续 扩 散 。 


4) 保密 行政 管理 部 门 工作 人 员 的 违法 行为 : 


这 类 行为 包括 保密 行政 管理 部 门 的 工作 人 员 在 履行 保密 管理 职责 时 小 用 职权 、 玩 忽 职 村 、 徇 私 舞 次。 滥用 职权 是 指 保密 行政 
管理 部 门 工作 人 员 超越 职权 范围 或 者 违背 法 律 授权 的 宗旨 、 违 反 法 律 程序 行使 职权 的 行为 ; 玩忽 职守 是 指 保密 行政 管理 部 门 工作 
人 员 严重 不 负责 任 ， 不 履行 或 不 正确 履行 职责 的 行为 ， 徇私 舞弊 是 指 保密 行政 管理 部 门 工作 人 员 在 履行 职责 的 过 程 中 ， 利 用 职务 
之 便 ， 和 弄虚作假、 徇私 牟利 的 行为 。 


在 以 上 危害 国家 秘密 安全 的 行为 中 ， 后 果 严 重 的 ， 即 构成 犯罪 ， 将 会 遭受 刑事 处 罚 ， 如 为 境外 的 机 构 、 组 织 、 人 员 窃取 、 刺 
探 、 收 买 、 非 法 提供 国家 秘密 的 行为 ， 对 泄露 国家 秘密 上 且 对 国家 和 人 民 危 害 特别 严重 、 情 节 特 别 恶 劣 的 行为 等 。 具 体 来 说 ， 危 害 
国家 秘密 安全 的 犯罪 行为 主要 包括 以 下 几 类 。 


1) 危害 国家 安全 的 犯罪 行为 : 


涉及 国家 秘密 的 危害 国家 安全 的 犯罪 行为 包括 以 下 几 种 : @ 掌 握 国 家 秘密 的 国家 工作 人 员 在 履行 公务 期 间 ， 擅 离 岗 位 ， 叛 逃 
境外 或 者 在 境外 叛逃 。@ 参 加 间谍 组 织 或 者 接受 间谍 组 织 及 其 代理 人 的 任务 ; 为 敌人 指示 龙 击 目标 。@ 为 境外 的 机 构 、 组 织 、 人 
员 窃 取 、 刺 探 、 收 买 、 非 法 提供 国家 秘密 或 者 情报 。 


2) 妨碍 社会 管理 秩序 的 犯罪 行为 : 


涉及 国家 秘密 的 妨碍 社会 管理 秩序 的 犯罪 行为 包括 以 下 几 种 : @@ 以 窃取 、 和 刺探 、 收 买方 法 ， 非 法 获取 国家 秘密 。@ 非 法 持 有 
属于 国家 绝密 、 机 密 的 文件 、 资 料 或 者 其 他 物品 ， 拒 不 说 明 来 源 与 用 途 。 


3) 渎职 的 犯罪 行为 : 


涉及 国家 秘密 的 渎职 犯罪 行为 包括 以 下 几 种 : @ 国 家 机 关 工 作 人 员 、 非 国家 机 关 工 作 人 员 违 反 保守 国家 秘密 法 的 规定 ， 故 意 
泄露 国家 秘密 。@ 国 家 机 关 工作 人 员 、 非 国家 机 关 工 作 人 员 违 反 保 守 国 家 秘密 法 的 规定 ， 过 失 泄 露 国 家 秘密 。 


4) 军人 违反 职责 的 犯罪 行为 : 


涉及 国家 秘密 的 军人 违反 职责 的 犯罪 行为 包括 以 下 几 种 : @ 以 窃取 、 刺 探 、 收 买方 法 ， 非 法 获取 军事 秘密 。@ 为 境外 的 机 
构 、 组 织 、 人 员 窃 到、 刺探 、 收 买 、 非 法 提供 军事 秘密 。@@ 违 反 保 守 国 家 秘密 法 规 ， 故 意 泄露 军事 秘密 ( 战 时 有 此 行为 会 受到 从 
重 处 罚 ) 。@ 违 反 保守 国家 秘密 法 规 ， 过 失 港 露 军事 秘密 ( 战 时 有 此 行为 会 受到 从 重 处 罚 ) 。 


危害 国家 秘密 安全 的 行为 ， 必 须 依 法 承担 法 律 责任 ， 包 括 相应 的 刑事 责任 、 行 政 责任 和 /或 其 他 处 分 。 除 了 刑事 责任 ，《 保 
密 法 》 还 规定 了 危害 国家 秘密 安全 的 行为 的 其 他 法 律 责任 。2010 年 10 月 1 日 起 正式 施行 的 新 《保密 法 》 从 四 个 方面 明确 了 危害 国 
家 秘密 安全 的 行为 的 法 律 责任 ， 使 查处 泄密 违法 行为 有 据 可 依 、 有 章 可 循 。 


1) 严重 违反 保密 规定 的 法 律 责任 : 


《保密 法 》 明 确 的 12 种 严重 违规 行为 ， 只 要 有 其 中 之 一 的 ， 就 要 依法 追究 责任 。 只 要 违反 规定 即使 没有 造成 泄密 后 果 也 要 


追究 ， 追 究 法 律 责任 的 原则 已 经 从 “结果 犯 ” 才 追究 转变 为 “行为 犯 ” 就 追究 。 违 规 者 需要 承担 的 责任 ,除了 刑事 责任 以 外 ， 主 
要 是 行政 责任 。 对 国家 工作 人 员 ， 应 按照 《中 华人 民 共 和 国 公务 员 法 》、《 中 华人 民 共 和 国 行政 监察 法 》、《 行 政 机 关公 务 员 处 
分 条 例 》 的 有 关 规 定 ， 依 法 给 予 处 分 ， 处 分 包括 : 警告 、 记 过 、 记 大 过 、 降 级 、 撤 职 、 开 除 ; 对 不 适用 处 分 的 人 员 ， 如 不 属于 组 
织 人 事 和 监察 机 关 规 定 的 可 以 给 予 处 分 范围 的 人 员 ， 由 保密 行政 管理 部 门 督 促 其 所 在 机 关 、 单 位 根据 内 部 管理 规定 ,或 者 合同 约 
定 的 条 款 ， 给 予 教育 、 训 诚 、 经 济 处 罚 和 解聘 等 形式 的 处 理 。 


2) 机 关 、 单 位 发 生 重大 泄密 案件 和 定 密 不 当 的 法 律 责任 : 

@@ 机 天 、 单 位 发 生 重大 泄密 案件 的 ， 追 究 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 的 责任 ， 由 有 天 机关、 单位 依法 对 其 给 予 
处 分 ; 不 适用 处 分 的 人 员 ， 由 保密 行政 管理 部 门 督促 其 主管 部 门 予以 处 理 。 直 接 责任 人 员 ， 是 指 直接 实施 违规 、 泄 密 行为 的 人 
员 ; 直接 负责 的 主管 人 员 ， 是 指 负 有 直接 领导 责任 的 机 关 、 单 位 负责 人 或 者 直接 责任 人 所 在 部 门 的 负责 人 。@@ 定 密 不 当 ， 造 成 严 
重 后 果 的， 追究 机 关 、 单 位 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 的 责任 ， 由 有 关机 关 、 单 位 依法 对 其 给 予 处 分 。 





3) 互联 网 及 其 他 公共 信息 网 络 运营 商 、 服 务 商 的 有 关 法 律 责任 


互联 网 及 其 他 公共 信息 网 络 运营 商 、 服 务 商 在 保护 国家 秘密 方面 未 履行 相应 义务 的 ， 由 对 其 负 有 相关 监督 管理 职权 的 公安 机 
天、 国家 安全 机 关 和 信息 产业 主管 部 门 按照 各 自 职责 分 工 ， 依 照 《 中 华人 民 共 和 国治 安 管理 处 罚 法 》、《 中 华人 民 共和 国电 信条 
例 》、《 计 算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 》、《 互 联网 信息 服务 管理 办 法 》 等 法 律 法 规 予以 处 罚 。 


4) 保密 行政 管理 部 门 工作 人 员 在 履行 保密 管理 职责 中 的 法 律 责任 
保密 行政 管理 部 门 工作 人 员 在 履行 保密 管理 职责 中 违反 规定 ， 依 法 给 予 处 分 。 
(2) 保护 商业 秘密 相关 法 律 


商业 秘密 ， 是 指 不 为 公众 所 知悉 、 能 为 权利 人 带 来 经 济 利益 、 具 有 实用 性 并 经 权利 人 采取 保密 措施 的 技术 信息 和 经 营 信息 。 
技术 信息 类 商业 秘密 包括 由 单位 研制 开发 或 者 以 其 他 合法 方式 掌握 的 、 未 公开 的 设计 、 程 序 、 产 品 配方 、 制 作 工 艺 、 制 作 方法 等 
舍 息 ， 以 及 完整 的 技术 方案 、 开 发 过 程 中 的 阶段 性 技术 成 果 以 及 取得 的 有 价值 的 技术 数据 ， 包 括 但 不 限于 设计 图 纸 ( 含 草图 ) ， 
试验 结果 和 试验 记录 、 样 品 、 数 据 等 ， 也 包括 针对 技术 问题 的 技术 诀 窑 ; 经 营 信息 类 商业 秘密 包括 经 营 策 略 、 产 销 策略 、 管 理 诀 
窍 、 客 户 名 单 、 货 源 情 报 、 招 投标 中 的 标底 及 标书 内 容 等 信息 。 


我 国 现在 还 没有 针对 商业 秘密 进行 保护 的 专门 立法 ， 对 商业 秘密 的 保护 是 通过 《中 华人 民 共和 国 反 不 正当 竞争 法 》 (以 下 简 
称 《 反 不 正当 竞争 法 》) 、《 中 华人 民 共 和 国 合同 法 》 (以 下 简称 《合同 法 》) 、《 中 华人 民 共 和 国 劳动 法 》 (以 下 简称 《劳动 
法 》) 、《 中 华人 民 共 和 国 劳动 合同 法 》 (以 下 简称 《劳动 合同 法 》) 和 《刑法 》 等 法 律 的 有 天 规定 来 实施 的 。 另 外 ，《 和 刑事 诉 
讼 法 》、《 民 事 诉 讼 法 》 也 有 对 商业 秘密 进行 保护 的 相关 条 款 。《 反 不 正当 竞争 法 》 认 定 了 侵犯 商业 秘密 的 不 正当 竞争 行为 ， 并 
对 经 营 者 侵犯 商业 秘密 的 行为 进行 了 禁止 。《 合 同 法 》 和 《劳动 合同 法 》 中 ， 分 别 有 对 商业 秘密 /技术 秘密 进行 保护 的 相应 条 
款 。《 合 同 法 》 在 “技术 合同 ”章节 中 规定 ， 技 术 合同 的 内 容 应 包括 “技术 情报 和 资料 的 保密 ”相关 条 款 ; 技术 秘密 转让 合同 的 
让 与 人 和 受 让 人 均 应 承担 保密 义务 。《 和 劳动 合同 法 》 在 “劳动 合同 的 订立 ”章节 中 规定 ， 用 人 单位 与 劳动 者 可 以 在 劳动 合同 中 约 
定 保守 用 人 单位 的 商业 秘密 和 与 知识 产权 相关 的 保密 事项 。《 刑 事 诉讼 法 》 规 定 ， 涉 及 商业 秘密 的 案件 ， 当 事 人 申请 不 公开 审理 
的 ， 可 以 不 公开 审理 。《 民 事 诉 讼 法 》 规 定 ， 对 涉及 商业 秘密 的 证 据 应 当 保密 ， 需 要 在 法 庭 出 示 的 ， 不 得 在 公开 开庭 时 出 示 ， 人 
民法 院 审理 民事 案件 ， 涉 及 商业 秘密 的 案件 ， 当 事 人 申请 不 公开 审理 的 ， 可 以 不 公开 审理 。 


侵犯 商业 秘密 的 行为 有 下 列 三 种 情形 : 以 盗 穷 、 利 诱 、 胁 迫 或 者 其 他 不 正当 手段 获取 权利 人 的 商业 秘密 ; 披露 、 使 用 或 者 允 
许 他 人 使 用 上 述 手段 获取 权利 人 的 商业 秘密 ; 违反 约定 或 者 违反 权利 人 有 关 保守 商业 秘密 的 要 求 ， 披 露 、 使 用 或 者 允许 他 人 使 用 
其 所 掌握 的 商业 秘密 。 权 利 人 ， 是 指 商业 秘密 的 所 有 人 和 经 商业 秘密 所 有 人 许可 的 商业 秘密 使 用 人 。 


侵犯 商业 秘密 ， 应 当 承 担 相 应 的 民事 责任 和 /或 刑事 责任 。《 刑 法 》 在 “破坏 社会 主义 市 场 经 济 秩序 罪 ” 之 “侵犯 知识 产权 
罪 ”的 章节 ， 规 定 了 构成 侵犯 商业 秘密 罪 罪名 的 犯罪 行为 以 及 相应 的 刑事 处 罚 〈 有 期 徒刑 或 者 拘役 ， 并 处 或 者 单 处 罚金 ) 。 《不 
正当 竞争 法 》 在 “法 律 责任 ”章节 中 规定 ， 经 营 者 违反 此 法 规定 侵犯 商业 秘密 ， 给 被 侵害 的 经 营 者 造成 损害 的 ， 应 当 承 担 损害 赔 
偿 责 任 ; 被 侵害 的 经 营 者 的 合法 权益 受到 不 正当 竞争 行为 损害 的 ， 可 以 向 人 民法 院 提起 诉讼 。《 合 同 法 》 在 “违约 责任 ”章节 中 
规定 ， 当 事 人 一 方 不 履行 合同 中 有 关 保 守 商 业 秘密 的 义务 或 者 履行 合同 义务 不 符合 约定 的 ， 应 当 承 担 继续 履行 、 采 取 补 救 措施 或 
者 赔偿 损失 等 违约 责任 。《 劳 动 法 》、《 劳 动 合同 法 》 在 “法 律 责任 ”章节 中 规定 ， 劳 动 者 违反 劳动 合同 中 约定 的 保密 事项 ， 对 
用 人 单位 造成 经 济 损失 的 ， 应 当 依 法 承担 赔偿 责任 。 


(3) 保护 个 人 信息 相关 法 律 


个 人 信息 是 指 有 关 一 个 可 识别 的 自然 人 的 任何 信息 。 举 例 来 说 ， 个 人 信息 包括 姓名 、 职 位 、 电 话 号 码 等 可 在 适当 范围 内 公开 
的 信息 ， 也 包括 诸如 健康 体检 报告 、 医 疗 记录 、 通 话 记 录 等 不 愿 公开 的 个 人 隐私 ， 还 包括 信息 系统 所 特有 的 账号 、 口 令 等 用 于 进 
行 用 户 标 识 和 身份 鉴别 的 信息 。 其 中 ， 个 人 隐私 是 指 公民 个 人 生活 中 不 愿 为 他 人 公开 或 知悉 的 秘密 。 隐 私 权 是 自然 人 享有 的 对 其 
个 人 与 公共 利益 无 天 的 个 人 信息 、 私 人 活动 和 私有 领域 进行 支配 的 一 种 人 格 权 。 例 如 口令 这 种 个 人 信息 ， 是 必须 保密 ， 不 能 公开 
的 。 


我 国 目前 还 没有 针对 个 人 信息 进行 保护 的 专门 立法 ，《 中 华人 民 共 和 国 完 法 》 (以 下 简称 《宪法 》) 、《 中 华人 民 共 和 国 居 
民 身 份 证 法 》 (以 下 简称 《居民 身份 证 法 》) 、《 中 华人 民 共 和 国 护照 法 》 (以 下 简称 《护照 法 》) 、《 中 华人 民 共 和 国民 法 通 
则 》 (以 下 简称 《民法 通则 》) 、《 刑 法 》、《 中 华人 民 共 和 国 侵权 责任 法 》 (以 下 简称 《侵权 责任 法 》) 、《 全 国人 民 代 表 大 
会 常务 委员 会 关于 维护 互联 网 安全 的 决定 》 (以 下 简称 《关于 维护 互联 网 安全 的 决定 》) 、《 全 国人 民 代 表 大 会 常务 委员 会 关于 
加 强 网 络 信息 保护 的 决定 》 (以 下 简称 《关于 加 强 网 络 信 息 保护 的 决定 》) 、《 刑 事 诉 讼 法 》、《 民 事 诉讼 法 》 都 有 对 个 人 信息 
进行 保护 的 相关 条 款 。《 完 法 》 是 我 国 的 基本 法 ， 其 他 任何 法 律 都 不 得 与 完 法相 抵触。 在 宪法 “公民 的 基本 权利 和 义务 ”章节 中 
规定 ， 中 华人 民 共 和 国 公 民 的 通信 自由 和 通信 秘密 受 法 律 的 保护 。 除 因 国家 安全 或 者 追查 刑事 犯罪 的 需要 ， 由 公安 机 关 或 者 检察 
机 关 依 照 法 律 规定 的 程序 对 通信 进行 检查 外 ， 任 何 组 织 或 者 个 人 不 得 以 任何 理由 侵犯 公民 的 通信 自由 和 通信 秘密 。 


非法 使 用 /滥用 个 人 信息 、 侵 犯 个 人 隐私 的 行为 包括 : 未 经 他 人 同意 ， 擅 自 公 布 他 人 的 隐私 材料 ， 或 者 以 书面 、 口 头 形式 宣 
扬 他 人 隐私 ;窃取 或 者 以 其 他 非法 方式 获取 公民 个 人 电子 信息 ; 出 售 或 者 非法 向 他 人 提供 公民 个 人 电子 信息 ; 网 络 服务 提供 者 和 
其 他 企业 事业 单位 在 业务 活动 中 未 经 被 收集 者 同意 就 收集 、 使 用 公民 个 人 电子 信息 ; 对 在 业务 活动 中 经 被 收集 者 同意 收集 的 公民 
个 人 电子 信息 没有 采取 必要 的 保密 措施 ， 医 疗 机 构 及 其 医务 人 员 港 露 患 者 隐私 或 者 未 经 患者 同意 公开 其 病历 资料 、 健 康 体检 报告 


等 行为 。 


这 些 行为 ， 若 情节 严重 ， 即 构成 刑事 犯罪 。 侵 犯 个 人 信息 的 行为 中 ， 构 成 刑事 犯罪 的 包括 : 隐匿 、 毁 弃 或 者 非法 开 拆 他 人 信 
件 ， 侵 犯 公民 通信 自由 权利 ， 情 节 严 重 的 ;邮政 工作 人 员 私 自 开 拆 或 者 隐匿 、 毁 弃 邮 件 、 电 报 的 ;国家 机 关 或 者 金融 、 电 信 、 交 
通 、 教 育 、 医 疗 等 单位 的 工作 人 员 ， 违 反 国 家 规定 ， 将 本 单位 在 履行 职责 或 者 提供 服务 过 程 中 获得 的 公民 个 人 信息 ， 出 售 或 者 非 
法 提供 给 他 人 ， 情 节 严 重 的 ; 窃取 或 者 以 其 他 方法 非法 获取 公民 个 人 信息 ， 情 节 严 重 的 ; 非法 截获 、 复 改 、 删 除 他 人 电子 邮件 或 
者 其 他 数据 资料 ， 情 节 严 重 的 ， 人 民警 察 泄露 因 制 作 、 发 放 、 查 验 、 扣 押 居 民 身 份 证 而 知悉 公民 个 人 信息 ， 情 节 严 重 的 。 


非法 使 用 /滥用 个 人 信息 、 侵 犯 个 人 隐私 ， 应 当 承 担 民事 责任 、 侵 权 责 任 、 行 政 责任 和 /或 刑事 责任 。《 和 刑法》 规定 了 构成 侵 
犯 通 信 自 由 罪 ， 私 自 开 拆 、 隐 匿 、 毁 弃 邮件 、 电 报 罪 两 个 罪名 的 犯罪 行为 和 相应 的 刑事 处 罚 。 最 近 十 几 年 ， 伴 随 着 信息 时 代 、 互 
联网 时 代 的 各 种 进步 ， 侵 犯 个 人 隐私 的 事件 也 越 来 越 多 。 为 了 打击 侵犯 个 人 信息 的 犯罪 行为 ，2009 年 2 月 28 日 公布 并 施行 的 《中 
华人 民 共 和 国 刑法 修正 案 (七 ) 》 规 定 了 构成 出 售 、 非 法 提供 公民 个 人 信息 罪 ， 非 法 获取 公民 个 人 信息 罪 两 个 新 罪名 的 犯罪 行为 
和 相应 的 刑事 处 罚 。 这 两 个 新 罪名 的 增设 ， 大 大 加 强 了 对 侵犯 个 人 隐私 行为 的 处 罚 力度 。 


2. 打 击 网 络 违法 犯罪 相关 法 律 


网 络 是 信息 传输 的 载体 ， 也 是 人 们 使 用 信息 的 重要 途径 。 计 算 机 网 络 在 全 球 迅速 普及 发 展 的 同时 ， 各 种 基于 计算 机 网 络 的 违 
法 犯罪 行为 也 不 断 出 现 ， 并 且 呈 快速 上 升 趋势 ， 打 击 网 络 违法 犯罪 行为 的 形势 也 越 来 越 严峻 。 


网 络 违法 犯罪 的 概念 ， 在 中 国法 学 界 一 直 存 在 争议 。 狭 义 的 网 络 违法 犯罪 ， 指 以 计算 机 网 络 为 违法 犯罪 对 象 而 实施 的 危害 网 
络 空间 的 行为 。 广 义 的 网 络 违法 犯罪 ， 是 以 计算 机 网 络 为 违法 犯罪 工具 或 者 为 违法 犯罪 对 象 而 实施 的 危害 网 络 空间 的 行为 ， 应 当 
包括 违反 国家 规定 ， 直 接 危害 网 络 安全 及 网 络 正常 秩序 的 各 种 违法 /犯罪 行为 。 

目前 ， 我 国 尚 没有 针对 网 络 违法 /犯罪 行为 的 专门 立法 ， 对 网 络 违法 /犯罪 行为 的 打击 是 通过 《关于 维护 互联 网 安全 的 决 
定 》、《 中 华人 民 共 和 国治 安 管理 处 罚 法 》 (以 下 简称 《治安 管理 处 罚 法 》) 、《 和 刑法》 等 法 律 来 实施 的 。《 关 于 维护 互联 网 安 
全 的 决定 》 是 在 我 国 互联 网 的 运行 安全 受到 越 来 越 多 的 威胁 和 信息 安全 问题 变 得 日 益 突出 的 背景 下 ， 于 2000 年 12 月 28 日 颁布 
的 ， 此 决定 明确 规定 对 各 类 网 络 违法 /犯罪 行为 给 予 打击 。《 治 安 管理 处 罚 法 》 对 网 络 违法 行为 及 相应 的 具体 治安 管理 处 罚 进 行 
了 规定 。《 和 刑法》 对 构成 犯罪 的 危害 网 络 安全 的 行为 及 需要 承担 的 法 律 责任 给 予 了 明确 规定 。 


网 络 违法 /犯罪 行为 包括 以 下 几 大 类 。 


(1) 破坏 互联 网 运行 安全 的 行为 





此 类 行为 包括 : 侵入 国家 事务 、 国 防 建设 、 尖 端 科 学 技术 领域 的 计算 机 信息 系统 ; 违反 国家 规定 ， 侵 入 计算 机 信息 系统 ， 造 
成 危害 ; 故意 制作 、 传 播 计算 机 病毒 等 破坏 性 程序 ， 攻 击 计算 机 系统 及 通信 了 网络， 致使 计算 机 系统 及 通信 网 络 遭 受 损 害 ; 违反 国 
家 规定 ， 擅 自 中 断 计 算 机 网 络 或 者 通信 服务 ， 造 成 计算 机 网 络 或 者 通信 系统 不 能 正常 运行 ; 违反 国家 规定 ， 对 计算 机 信息 系统 功 
能 进行 删除 、 修 改 、 增 加 、 干 扰 ， 造 成 计算 机 信息 系统 不 能 正常 运行 ;违反 国家 规定 ， 对 计算 机 信息 系统 中 存储 、 处 理 、 传 输 的 
数据 和 应 用 程序 进行 删除 、 修 改 、 增 加 。 


(2) 破坏 国家 安全 和 社会 稳定 的 行为 


此 类 行为 包括 : 利用 互联 网 造谣 、 诽 谤 或 者 发 表 、 传 播 其 他 有 害 信 息 ， 煽 动 颠覆 国家 政权 、 推 翻 社 会 主义 制度 ， 或 者 煽动 分 
裂 国家 、 破 坏 国家 统一 ;通过 互联 网 窃取 、 泄 露 国家 秘密 、 情 报 或 者 军事 秘密 ; 利用 互联 网 煽动 民族 仇恨 、 民 族 歧 视 ， 破 坏 民族 
团结 ; 利用 互联 网 组 织 政 教 组 织 、 联 络 夏 教 组 织 成 员 ， 破 坏 国家 法 律 、 行 政法 规 实施 。 

(3) 破坏 社会 主义 市 场 经 济 秩序 和 社会 管理 秩序 的 行为 


此 类 行为 包括 : 利用 互联 网 销售 伪劣 产品 或 者 对 商品 、 服 务 作 虚 假 宣 传 ; 利用 互联 网 损坏 他 人 商业 信誉 和 商品 声誉 ; 利用 互 
联网 侵犯 他 人 知识 产权 ; 利用 互联 网 编造 并 传播 影响 证 券 、 期 货 交 易 或 者 其 他 扰乱 金融 秩序 的 虚假 信息 ; 在 互联 网 上 建立 淫秽 网 
站 、 网 页 ， 提 供 淫 秽 站 点 链接 服务 ， 或 者 传播 淫秽 书刊 、 影 片 、 音 像 、 图 片 。 


(4) 侵犯 个 人 、 法 人 和 其 他 组 织 的 人 身 、 财 产 等 合法 权利 的 行为 


此 类 行为 包括 : 利用 互联 网 侮 感 他 人 或 者 捏造 事实 诽谤 他 人 ;非法 截获 、 算 改 、 删 除 他 人 电子 邮件 或 者 其 他 数据 资料 ， 侵 犯 
公民 通信 自由 和 通信 秘密 ; 利用 互联 网 进行 盗 穷 、 诈 骗 、 敲 诈 勒 索 ; 利用 网 络 写 恐 吓 信 或 者 以 其 他 方法 威胁 他 人 人 身 安全 ; 利用 
网 络 捏造 事实 诬告 陷害 他 人 ， 企 图 使 他 人 受到 刑事 追究 或 者 受到 治安 管理 处 罚 ; 利用 网 络 对 证 人 及 其 杀 属 进行 威胁 、 侮 辱 或 者 打 
击 报复 ;利用 网 络 多 次 发 送 淫 秽 、 侮 厨 、 臣 吓 或 者 其 他 信息 ， 干 扰 他 人 正常 生活 ;利用 网 络 偷 夫 、 偷 拍 、 窃 听 、 散 布 他 人 隐私 。 
利用 网 络 煽动 民族 仇恨 、 民 族 上 屏 视 ,或 者 在 网 络 中 刊载 民族 歧视 、 侮 辱 内 容 。 

(5) 利用 互联 网 实施 以 上 四 类 所 列 行为 以 外 的 违法 /犯罪 行为 
实施 网 络 违法 犯罪 ， 应 当 受 到 刑事 处 罚 、 治 安 管理 处 罚 、 行 政 处 罚 、 行 政 处 分 或 纪律 处 分 ， 及 承担 民事 责任 。 


针对 网 络 犯罪 行为 ，《 和 刑法》 明确 规定 了 对 构成 非法 侵入 计算 机 信息 系统 罪 ， 非 法 获取 计算 机 信息 系统 数据 、 非 法 控制 计算 


机 信息 系统 罪 ， 提 供 侵入 、 非 法 控制 计算 机 信息 系统 程序 、 工 具 罪 ， 破 坏 计算 机 信息 系统 罪 的 犯罪 行为 以 及 相应 的 刑事 处 罚 ; 并 
同时 规定 ， 利 用 计算 机 实施 金融 诈骗 、 盗 穿 、 贪 污 、 挪 用 公款 、 窃 取 国 家 秘密 或 者 其 他 犯罪 的 ， 依 照 《刑法 》 有 关 规 定 定罪 处 
罚 。《 关 于 维护 互联 网 安全 的 决定 》 规 定 ， 对 破坏 互联 网 运行 安全 、 破 坏 国家 安全 和 社会 稳定 、 破 坏 社会 主义 市 场 经 济 秩序 和 社 
会 管理 秩序 、 侵 犯人 个人、 法 人 和 其 他 组 织 的 人 身 及 财产 等 合法 权利 的 行为 ， 以 及 利用 互联 网 实施 其 他 行为 ， 构 成 犯罪 的 ， 依 照 刑 
法 有 天 规定 追究 刑事 责任 ; 利用 互联 网 实施 违法 行为 ， 违 反 社 会 治安 管理 ， 尚 不 构成 犯罪 的 ， 由 公安 机 关 依 照 《 治 安 管理 处 罚 条 
例 》 (已 经 被 《治安 管理 处 罚 法 》 取 代 ) 予以 处 罚 ; 违反 其 他 法 律 、 行 政法 规 ， 尚 不 构成 犯罪 的 ， 由 有 关 行 政 管 理 部 门 依法 给 予 
行政 处 罚 ; 对 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ， 依 法 给 予 行政 处 分 或 者 纪律 处 分 ; 利用 互联 网 侵犯 他 人 合法 权益 ， 构 成 
民事 侵权 的 ， 依 法 承担 民事 责任 。 


《治安 管理 处 罚 法 》 规 定 ， 扰 乱 公共 秩序 ， 妨 害 公 共 安 全 ， 侵 犯人 身 权利 、 财 产权 利 ， 妨 害 社会 管理 ， 具 有 社会 危害 性 ， 依 
照 《 和 刑法》 的 规定 构成 犯罪 的 ， 依 法 追究 刑事 责任 ; 尚 不 够 刑事 处 罚 的 ， 由 公安 机 关 依照 本 法 给 予 治安 管理 处 罚 。 在 第 三 章 “ 违 
反 治 安 管理 的 行为 和 处 罚 ” 中 ， 明 确 规定 了 对 利用 计算 机 网 络 扰乱 公共 秩序 的 行为 、 侵 犯人 身 权 利和 财产 权利 的 行为 、 妨 害 社 会 
管理 的 行为 的 具体 处 罚 。 治 安 管理 处 罚 的 种 类 分 为 : 和 警告、 罚款、 行政 拘留 、 吊 销 公 安 机 关 发 放 的 许可 证 ; 对 违反 治安 管理 的 外 
国人 ， 可 以 附加 适用 限期 出 境 或 者 驱逐 出 境 。 


3. 信 息 安全 管理 相关 法 律 


信息 安全 事 关 国家 安全 和 经 济 建 设 、 组 织 建 设 与 发 展 ， 我 国 从 法 律 层 面 明确 了 信息 安全 相关 工作 的 主管 /监管 机 构 及 其 具体 


在 保护 国家 秘密 方面 ，《 中 华人 民 共和 国保 守 国家 秘密 法 》 在 第 一 章 “总 则 ”第 五 条 、 第 六 条 中 ， 对 保密 工作 的 监管 进行 了 
明确 授权 ， 由 国家 保密 行政 管理 部 门 主管 全 国 的 保密 工作 ; 县 级 以 上 地 方 各 级 保密 行政 管理 部 门 主管 本 行政 区 域 的 保密 工作 ; 
家 机 天 和 涉及 国家 秘密 的 单位 管理 本 机 关 和 本 单位 的 保密 工作 ; 中 央 国家 机 关 在 其 职权 范围 内 ， 管 理 或 者 指导 本 系统 的 保密 工 
作 。 国 家 保密 行政 管理 部 门 的 最 高 机 构 是 国家 保密 局 。 在 第 四 章 “ 监 督 管理 ”第 四 十 一 条 、 第 四 十 二 条 中 规定 ， 国 家 保密 行政 管 
理 部 门 依照 法 律 、 行 政法 规 的 规定 ， 制 定 保 密 规章 和 国家 保密 标准 ; 保密 行政 管理 部 门 依法 组 织 开展 保密 宣传 教育 、 保 密 检查 、 
保密 技术 防护 和 泄密 案件 查处 工作 ， 对 机 关 、 单 位 的 保密 工作 进行 指导 和 监督 。 


为 维护 国家 安全 ，《 中 华人 民 共 和 国 国家 安全 法 》 在 第 一 章 “ 总 则 ”第 二 条 中 规定 ， 国 家 安全 机 关 是 本 法 规定 的 国家 安全 工 
作 的 主管 机 关 ; 国家 安全 机 关 和 公安 机 天 按照 国家 规定 的 职权 划分 ， 各 司 其 职 ， 密 切 配合 ， 维 护 国家 安全 。 国 家 安全 机 关 的 最 高 
机 构 是 国家 安全 部 。 在 第 二 章 “ 国 家 安全 机 关 在 国家 安全 工作 中 的 职权 ”第 六 条 中 规定 ， 国 家 安全 机 关 在 国家 安全 工作 中 依法 行 
使 侦查 、 拘 留 、 预 审 和 执行 逮捕 以 及 法 律 规定 的 其 他 职权 。 在 第 十 条 、 第 十 一 条 中 规定 ， 国 家 安全 机 关 因 侦 察 危害 国家 安全 行为 
的 需要 ， 根 据 国 家 有 关 规 定 ， 经 过 严格 的 批准 手续 ， 可 以 采取 技术 侦察 措施 ; 国家 安全 机 关 为 维护 国家 安全 的 需要 ， 可 以 查验 组 
织 和 个 人 电子 通信 工具 、 器 材 等 设备 、 设 施 。 


在 维护 公共 安全 方面 ，《 中 华人 民 共 和 国人 民警 察 法 》 和 《中 华人 民 共和 国治 安 管理 处 罚 法 》 进 行 了 相应 规定 。《 中 华人 民 
共和 国人 民 和 警察 法 》 第 二 章 “ 职 权 ” 第 六 条 规定 ， 公 安 机 关 的 人 民 和 警察 按照 职责 分 工 ， 依 法 履行 下 列 职责 : 预防 、 制 止 和 侦查 违 
法 犯罪 活动 ;维护 社会 治安 秩序 ， 制 止 危害 社会 治安 秩序 的 行为 ; 监督 管理 计算 机 信息 系统 的 安全 保护 工作 。《 中 华人 民 共 和 国 
治安 管理 处 罚 法 》 第 一 章 “ 总 则 ”第 二 条 规定 ， 对 违反 治安 管理 ， 具 有 社会 危害 性 的 行为 ， 尚 不 够 刑事 处 罚 的， 由 公安 机 关 依 照 
此 法 给 予 治安 管理 处 罚 ; 第 七 条 规定 ， 国 务 院 公安 部 门 负责 全 国 的 治安 管理 工作 。 县 级 以 上 地 方 各 级 人 民政 府 公 安 机关 负 责 本 行 
政 区 域内 的 治安 管理 工作 。 治 安 案件 的 管辖 由 国务 院 公安 部 门 规定 。 


为 规范 电子 签名 行为 ， 确 立 电 子 签名 的 法 律 效力 ，2004 年 8 月 28 日 通过 并 公布 的 《中 华人 民 共 和 国电 子 签名 法 》 在 第 三 
章 “ 电 子 签名 与 认证 ”中 ， 对 电子 认证 服务 提供 者 的 监管 进行 了 授权 。 在 第 十 六 条 、 第 十 八条 中 规定 ， 电 子 签名 需要 第 三 方 认证 
的 ， 由 依法 设立 的 电子 认证 服务 提供 者 提供 认证 服务 ;从 事 电子 认证 服务 ， 应 当 向 国务 院 信息 产业 主管 部 门 提 出 申请 ， 并 提交 符 


合 规定 条 件 的 相关 材料 。 国 务 院 信息 产业 主管 部 门 接 到 申请 后 经 依法 审查 ， 征 求 国务 院 商 务 主管 部 门 等 有 关 部 门 的 意见 后 ， 自 接 
到 申请 之 日 起 四 十 五 日 内 作出 许可 或 者 不 予 许可 的 决定 。 予 以 许可 的 ， 颁 发 电子 认证 许可 证 书 ; 不 予 许可 的 ， 应 当 书 面 通知 申请 
人 并 告知 理由 。 申 请 人 应 当 持 电子 认证 许可 证 书 依法 向 工商 行政 管理 部 门 办 理 企 业 登 记 手续 。 取 得 认证 资格 的 电子 认证 服务 提供 
者 ， 应 当 按照 国务 院 信息 产业 主管 部 门 的 规定 在 互联 网 上 公布 其 名 称 、 许 可 证 号 等 信息 。2008 年 3 月 11 日 我 国 成 立 工业 和 信息 化 
部 ， 承 担 了 原 信息 产业 部 相关 的 职能 。 


10.1.3 ”信息 安全 相关 行政 法 规 和 部 门 规章 


除了 信息 安全 相关 法 律 ， 国 务 院 陆续 发 布 了 一 些 信息 安全 相关 行政 法 规 ， 国 务 院 下 属 各 部 委 还 发 布 了 一 些 信息 安全 相关 部 门 
规章 。 这 些 行政 法 规 和 部 门 规章 作为 信息 安全 相关 法 律 的 重要 补充 ， 从 不 同 层面 对 信息 安全 相关 事项 进行 规范 和 约束 。 


1. 行 政法 规 


虽然 国家 在 法 律 层面 已 和 有 各 类 信息 的 强制 保护 规定 ， 进 入 互联 网 时 代 以 后 ， 随 着 信息 化 的 不 断 深入 ， 信 息 安全 保护 问题 日 益 
复杂 。 基 于 这 样 的 时 代 背 景 ， 国 务 院 先后 发 布 了 若干 与 信息 安全 保护 相关 的 行政 法 规 ， 以 便 更 好 地 执行 相关 法 律 的 规定 ， 履 行 完 
法 赋予 国务 院 的 相关 行政 管理 职能 。 


为 了 保护 计算 机 信息 系统 的 安全 ， 促 进 计算 机 的 应 用 和 发 展 ， 保 障 社会 主义 现代 化 建设 的 顺利 进行 ， 国 务 院 制定 并 颁布 了 
《计算 机 信息 系统 安全 保护 条 例 》 (国务 院 令 第 147 号 ，1994 年 2 月 18 日 颁布 施行 ) 。 此 条 例 从 行政 法 规 的 层面 ， 对 计算 机 信息 
系统 及 其 安全 保护 进行 了 定义 。 安 全 保护 是 指 保障 计算 机 及 其 相关 的 和 配套 的 设备 、 设 施 ( 含 网 络 ) 的 安全 ， 运 行 环境 的 安全 ， 
保障 信息 的 安全 ， 保 障 计算 机 功能 的 正常 发 挥 ， 以 维护 计算 机 信息 系统 的 安全 运行 。 此 条 例 同 时 明确 了 计算 机 信息 系统 安全 保护 
的 主管 部 门 和 安全 保护 制度 。 公 安 部 主管 全 国 计 算 机 信息 系统 安全 保护 工作 ( 含 安全 监督 职权 ) ， 国 家 安全 部 、 国 家 保密 局 和 国 
务 院 其 他 有 关 部 门 ， 在 国务 院 规定 的 职责 范围 内 做 好 计算 机 信息 系统 安全 保护 的 有 关 工 作 。“ 安 全 保护 制度 ”章节 明确 规定 计算 
机 信息 系统 实行 安全 等 级 保护 ; 使 用 单位 应 当 建 立 健全 安全 管理 制度 ， 安 全 专用 产品 (硬件 、 软 件 ) 的 销售 实行 许可 证 制度 。 


为 了 加 强 商用 密码 管理 ， 保 护 信息 安全 ， 保 护 公 民 和 组 织 的 合法 权益 ， 维 护 国家 的 安全 和 利益 ， 国 务 院 制定 并 颁布 了 《商用 
密码 管理 条 例 》 (国务 院 令 第 273 号 ，1999 年 10 月 7 日 颁布 施行 ) 。 商 用 密码 是 指 对 不 涉及 国家 秘密 内 容 的 信息 进行 加 密 保护 或 
者 安全 认证 所 使 用 的 密码 技术 和 密码 产品 。 昌 然 商 用 密码 技术 和 产品 保护 的 是 非 国家 秘密 ， 但 商用 密码 技术 属于 国家 秘密 。 国 家 
对 商用 密码 产品 的 科研 、 和 生产、 销售 和 使 用 实行 专 控 管 理 。 国 家 密码 管理 委员 会 及 其 办 公 室 (以 下 简称 国家 密码 管理 机 构 ) 主管 
全 国 的 商用 密码 管理 工作 。 商 密 产 品 由 国家 密码 管理 机 构 分 别 指定 单位 进行 科研 、 生 产 和 检测 。 商 用 密码 产品 由 国家 密码 管理 机 
构 许可 的 单位 销售 ; 未 经 许可 ， 任 何 单位 或 者 个 人 不 得 销售 商用 密码 产品 ; 经 审查 合格 的 单位 ， 由 国家 密码 管理 机 构 发 给 《商用 
密码 产品 销售 许可 证 》; 销售 商用 密码 产品 ， 必 须 如 实 登记 备案 直接 使 用 商用 密码 产品 的 用 户 信息 和 产品 用 途 ; 任何 单位 或 者 个 
人 不 得 销售 境外 的 密码 产品 。 任 何 单位 或 者 个 人 只 能 使 用 经 国家 密码 管理 机 构 认可 的 商用 密码 产品 ， 不 得 使 用 自行 研制 的 或 者 境 
外 生产 的 密码 产品 ; 商用 密码 产品 的 用 户 不 得 转让 其 使 用 的 商用 密码 产品 ;商用 密码 产品 发 生 故 障 ， 必 须 由 国家 密码 管理 机 构 指 
定 的 单位 维修 ; 报废 、 销 毁 商 用 密码 产品 ， 应 当 向 国家 密码 管理 机 构 备案 。 


2. 部 门 规章 


国务 院 各 部 委 ， 根 据 相 关 法 律 和 国务 院 的 行政 法 规 、 决 定 、 命 令 ， 在 其 部 门 的 权限 范围 内 ， 制 定 了 一 系列 有 关 信 息 安全 相关 
事项 的 规章 ， 以 更 好 地 执行 法 律 和 行政 法 规 所 规定 的 事项 。 


为 了 加 强 计算 机 信息 系统 安全 专用 产品 (以 下 简称 安全 专用 产品 ) 的 管理 ， 保 证 安全 专用 产品 的 安全 功能 ， 维 护 计算 机 信息 
系统 的 安全 ， 根 据 《 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》， 公 安 部 制定 并 颁布 了 《计算 机 信息 系统 安全 专用 产品 检测 


和 销售 许可 证 管理 办 法 》 (公安 部 令 第 32 号 ，1997 年 12 月 12 日 施行 ) 。 此 管理 办 法 明确 了 两 个 必须 : 安全 专用 产品 的 生产 者 在 
其 产品 进入 市 场 销售 之 前 ， 必 须 申 领 《 计 算 机 信息 系统 安全 专用 产品 销售 许可 证 》; 安全 专用 产品 的 生产 者 申 领 销 售 许可 证 ， 必 
须 对 其 产品 进行 安全 功能 检测 和 认定 。 此 管理 办 法 同时 对 检测 及 检测 机 构 做 了 规定 : 安全 专用 产品 的 生产 者 应 当 向 经 公安 部 计算 
机 管理 监察 部 门 批准 的 检测 机 构 申 请 安全 功能 检测 ; 检测 机 构 收 到 检测 申请 、 样 品 及 其 他 有 关 材 料 后 ， 应 当 按 照 安 全 专用 产品 的 
功能 说 明 ， 检 测 其 是 否 具 有 计算 机 信息 系统 安全 保护 功能 ;检测 机 构 应 保守 检测 产品 的 技术 秘密 ， 并 不 得 非法 占有 他 人 科技 成 

果 ， 不 得 从 事 与 检 测 产品 有 关 的 开发 和 对 外 咨询 业务 。 管 理 办 法 对 销售 许可 证 及 其 主管 部 门 做 了 规定 : 公安 部 计算 机 管理 监察 半 
门 接受 安全 专用 产品 的 生产 者 提交 的 申请 材料 ， 经 审核 合格 的 ， 颁 发 销售 许可 证 和 安全 专用 产品 “销售 许可 ”标记 ; 销售 许可 证 
只 对 所 申请 销售 的 安全 专用 产品 有 效 ， 有 效 期 两 年 ; 已 取得 销售 许可 证 的 安全 专用 产品 ， 生 产 者 应 当 在 固定 位 置 标明 “销售 许 

可 ”标记 。 安 全 专用 产品 的 检测 通告 和 经 安全 功能 检测 确认 的 安全 专用 产品 目录 ， 由 公安 部 计算 机 管理 监察 部 门 发 布 。 


为 了 保护 计算 机 信息 系统 处 理 的 国家 秘密 安全 ， 根 据 《 中 华人 民 共 和 国保 守 国 家 秘密 法 》 国 家 保密 局 制定 了 《计算 机 信息 系 
统 保密 管理 暂行 规定 》 (由 国家 保密 局 以 国保 发 [1998]1 号 文件 的 形式 于 1998 年 2 月 26 日 颁布 施行 ) 。 此 规定 的 适用 范围 为 采 
集 、 存 储 、 处 理 、 传 递 、 输 出 国家 秘密 信息 的 计算 机 信息 系统 。 此 规定 明确 了 保密 工作 的 主管 部 门 为 国家 保密 局 ， 国 家 保密 局 主 
管 全 国 计 算 机 信息 系统 的 保密 工作 。 此 规定 从 五 个 方面 提出 了 保密 管理 要 求 。 


(1) 涉 密 系 统 


规划 和 建设 计算 机 信息 系统 ， 应 当 同 步 规划 落实 相应 的 保密 设施 。 计 算 机 信息 系统 应 当 采 取 有 效 的 保密 措施 ， 配 置 合 格 的 保 
密 专 用 设备 ， 防 泄密 、 防 窃 密 。 系 统 联网 应 当 采 取 访 问 控制 、 数 据 保护 和 安全 保密 监控 管理 等 技术 措施 。 未 采取 技术 安全 保密 措 
施 的 数据 库 不 得 联网 。 


(2) 涉 密 信息 


涉 密 信息 和 数据 必须 按照 保密 规定 进行 采集 、 人 存储 、 处 理 、 传 递 、 使 用 和 销毁 。 人 存储 、 处 理 、 传 递 、 输 出 的 涉 密 信息 要 有 相 
应 的 密级 标识 ， 密 级 标识 不 能 与 正文 分 离 。 国 家 秘密 信息 不 得 在 与 国际 网 络 联网 的 系统 中 存储 、 处 理 、 传 递 。 


(3) 涉 密 媒体 


存储 国家 秘密 信息 的 媒体 ， 应 按 所 存储 信息 的 最 高 密级 标明 密级 ， 并 按 相 应 密级 的 文件 进行 管理 。 存 储 在 系统 内 的 国家 秘密 
言 息 应 当 采 取保 护 措施 。 存 储 过 国家 秘密 信息 的 媒体 不 能 降低 密级 使 用 。 不 再 使 用 的 媒体 应 及 时 销毁 。 存 储 过 国家 秘密 信息 的 媒 
体 的 维修 应 保证 所 存储 的 国家 秘密 信息 不 被 泄露 。 打 印 输出 的 涉 密 文 件 ， 应 当 按 相应 密级 的 文件 进行 管理 。 


(4) 涉 密 场所 


涉 密 信息 处 理 场所 应 当 与 境外 机 构 驻 地 、 人 员 住所 保持 相应 的 安全 距离 。 涉 密 场 所 应 当 设 立 控制 区 ， 未 经 管理 机 关 批 准 无 关 
人 员 不 得 进入 。 涉 密 场 所 应 当 定期 或 者 根据 需要 进行 保密 技术 检查 。 计 算 机 信息 系统 应 采取 相应 的 防 电磁 信息 泄漏 的 保密 措施 。 


(5) 系统 管理 


计算 机 信息 系统 的 保密 管理 应 实行 领导 负责 制 ， 由 使 用 单位 的 主管 领导 负责 保密 工作 ， 并 指定 有 关机 构 和 和 人员 具体 承办 。 各 
单位 的 保密 工作 机 构 协 助 本 单位 的 领导 对 保密 工作 进行 指导 、 协 调 、 监 督 和 检查 。 应 制订 相应 的 保密 管理 制度 。 各 级 保密 部 门 应 
对 本 地 区 的 系统 进行 保密 技术 检查 。 保 密 管理 人 员 应 经 过 严格 审查 ， 定 期 考核 ， 并 保持 相对 稳定 。 各 单位 保密 工作 机 构 应 对 工作 
人 员 进 行 上 岗 前 的 保密 培训 ， 并 定期 进行 保密 教育 和 检查 。 


为 了 贯彻 落实 《国务 院 关 于 投资 体制 改革 的 决定 》， 全 面 加 强国 家 电子 政务 工程 建设 项 目 管理 ， 保 证 工程 建设 质量 ， 提 高 投 
资 效益 ， 国 家 发 展 和 改革 委员 会 制定 并 颁布 了 《国家 电子 政务 工程 建设 项 目 管理 暂行 办 法 》 (发 改 委 令 第 55 号 ，2007 年 8 月 13 
日 公布 ，2007 年 9 月 1 日 起 施行 ) 。 此 办 法 对 国家 电子 政务 工程 建设 项 目的 申报 和 审批 管理 、 验 收 评价 管理 、 运 行 管理 等 方面 进 


行 了 规定 ， 其 中 有 明确 的 信息 安全 相关 要 求 。 在 申报 和 审批 管理 环节 ， 要 求 电子 政务 项 目 原则 上 包括 项 目 建议 书 、 可 行 性 研究 报 
告 、 初 步 设计 方案 和 投资 概算 审批 环节 ， 在 项 目 建议 书 和 可 行 性 研究 报告 的 项 目 建设 方案 中 应 包含 “安全 系统 建设 方案 ”， 在 初 
步 设 计 方案 的 项 目 设计 方案 中 应 包含 “安全 系统 设计 ”。 在 验收 评价 管理 环节 ， 要 求 项 目 建 设 单位 应 在 完成 项 目 建设 任务 后 的 半 
年 内 ， 组 织 完成 建设 项 目的 信息 安全 风险 评估 和 初步 验收 工作 。 在 运行 管理 环节 ， 要 求 项 目 建设 单位 或 其 委托 的 专业 机 构 应 按照 
风险 评估 的 相关 规定 ， 对 建成 项 目 进行 信息 安全 风险 评估 ， 检 验 其 网 络 和 信息 系统 对 安全 环境 变化 的 适应 性 及 安全 措施 的 有 效 
性 ,保障 信息 安全 目标 的 实现 。 


10.1.4 “信息 安全 相关 地 方法 规 、 地 方 规章 和 行业 规定 


我 国 一 些 省 市 的 人 大 及 其 常委 会 已 制定 了 各 自 关 于 信息 安全 的 地 方 性 法 规 。 例 如 ， 北 京 市 人 民 代表 大 会 常务 委员 会 为 规范 信 
息 化 管理 ， 加 快 信息 化 建设 ,促进 经 济 发 展 和 社会 进步 ， 根 据 有 关 法 律 和 行政 法 规 并 结合 北京 市 实际 情况 ， 制 定 了 《北京 市 信息 
化 促进 条 例 》 (北京 市 人 民 代 表 大 会 常务 委员 会 公告 第 63 号 ，2007 年 9 月 14 日 通过 公布 ，2007 年 12 月 1 日 起 施行 ) 。 该 条 例 适 用 
于 北京 市 信息 化 工程 建设 、 信 息 资源 开发 利用 、 信 息 技术 推广 应 用 、 信 息 安全 保障 以 及 相关 管理 活动 。 在 此 条 例 的 第 五 章 “ 信 息 
安全 保障 ”章节 中 ， 对 北京 市 落实 等 级 保护 制度 ， 制 定 网 络 与 信息 系统 安全 事件 应 急 预 案 ， 组 建 公共 服务 网 络 与 信息 系统 信息 安 
全 应 急救 援 服务 体系 等 方面 的 工作 做 出 了 明确 规定 。 


我 国 一 些 省 市 政府 也 制定 了 关于 信息 安全 的 地 方 政 府 规 章 。 例 如 ， 上 海 市 人 民政 府 为 规范 本 市 公共 信息 系统 安全 测评 活动 ， 
保障 公共 信息 系统 正常 运行 ， 制 定 了 《上 海 市 公共 信息 系统 安全 测评 管理 办 法 》 (上 海 市 人 民政 府 令 [2006] 第 58 号 ，2006 年 4 月 
17 日 通过 ，2006 年 5 月 7 日 公布 ，2006 年 7 月 1 日 起 施行 ) 。 该 管理 办 法 适用 于 上 海 市 行政 区 域内 的 公共 信息 系统 安全 测评 管理 活 
动 ， 具 体 规定 涉及 测评 的 管理 部 门 、 责 任 制 度 、 测 评 年 度 计 划 、 新 建 系 统 的 测评 、 测 评 机 构 、 测 评 协议 、 测 评 要 求 、 安 全 事项 告 
知 与 协助 义务 、 测 评 报告 、 安 全 整改 ， 对 测评 机 构 违法 行为 的 处 理 等 方面 。 


我 国 一 些 行业 监管 /主管 部 门 还 制定 了 若干 适用 于 特定 行业 的 信息 安全 相关 规定 。 


中 国 银行 业 监督 管理 委员 会 为 加 强 电 子 银行 业务 的 风险 管理 ， 保 障 客户 及 银行 的 合法 权益 ， 促 进 电 子 银行 业务 的 健康 有 序 发 
展 ,根据 《中 华人 民 共 和 国 银行 业 监督 管理 法 》、《 中 华人 民 共 和 国 商 业 银 行 法 》 和 《中 华人 民 共 和 国外 资金 融 机 构 管 理 条 例 》 
等 法 律 法 规 ， 制 定 了 《电子 银行 业务 管理 办 法 》 (中 国 银行 业 监督 管理 委员 会 令 2006 年 第 5 号 ，2005 年 11 月 10 日 通过 ，2006 年 
1 月 26 日 公布 ，2006 年 3 月 1 日 起 施行 ) 。 该 管理 办 法 适用 于 利用 计算 机 和 互联 网 开展 的 银行 业务 (网 上 银行 业务 ) ， 利 用 电话 
等 声讯 设备 和 电信 了 网络 开展 的 银行 业务 (电话 银行 业务 ) ， 利 用 移动 电话 和 无 线 网 络 开展 的 银行 业务 (手机 银行 业务 ) ， 以 及 其 
他 利用 电子 服务 设备 和 网 络 、 由 客户 通过 自助 服务 方式 完成 金融 交易 的 银行 业务 。 该 办 法 第 三 章 “ 风 险 管理 ”和 第 四 章 “数据 交 
换 与 转移 管理 ”通过 较 大 篇 幅 ， 对 电子 银行 业务 安全 保障 做 出 了 明确 规定 ， 要 求 金融 机 构 将 电子 银行 业务 风险 管理 纳入 机 构 风 险 
管理 的 总 体 框架 之 中 ， 并 根据 电子 银行 业务 的 运营 特点 ， 建 立 健全 电子 银行 风险 管理 体系 和 确保 电子 银行 安全 、 稳 健 运营 的 内 部 
控制 体系 。 


中 国 证 券 监 督 管 理 委员 会 为 了 保障 证 券 期 货 信息 系统 安全 运行 ， 加 强 证 券 期 货 业 信息 安全 管理 工作 ， 促 进 证 券 期 货 市 场 稳定 
健康 发 展 ， 保 护 投资 者 合法 权益 ， 根 据 《 证 券 法 》、《 证 券 投资 基金 法 》、《 期 货 交 易 管理 条 例 》 及 信息 安全 保障 相关 的 法 律 、 
行政 法 规 ， 制 定 了 《证 券 期 货 业 信息 安全 保障 管理 办 法 》 (中 国 证 券 监 督 管理 委员 会 令 第 82 号 ，2012 年 8 月 23 日 通过 ，2012 年 9 
月 24 日 公布 ，2012 年 11 月 1 日 起 施行 ) 。 该 管理 办 法 要 求证 券 期 货 业 信息 安全 保障 的 责任 主体 执行 国家 信息 安全 相关 法 律 、 行 
政法 规 和 行业 相关 技术 管理 规定 、 技 术 规 则 、 技 术 指引 和 技术 标准 ， 开 展 信息 安全 工作 ， 保 护 投资 者 交易 安全 和 数据 安全 ， 并 对 
本 机 构 信息 系统 安全 运行 承担 责任 。 责 任 主体 包括 承担 证 券 期 货 市 场 公共 职能 的 机 构 、 承 担 证 券 期 货 行 业 信息 技术 公共 基础 设施 
运营 的 机 构 等 证 券 期 货 市 场 核心 机 构 及 其 下 属 机 构 ， 以 及 证 券 公司 、 期 货 公 司 、 基 金管 理 公 司 、 证 券 期 货 服 务 机 构 等 证 券 期 货 经 





莒 机 构 。 该 管理 办 法 主要 从 基本 要 求 、 持 续 保障 要 求 、 产 品 及 服务 采购 要 求 三 个 层面 对 证 券 期 货 业 信息 安全 保障 工作 进行 了 明确 


规定 。 


10.1.5 ”国外 典型 国家 信息 安全 相关 法 规 简介 


以 美国 为 例 ， 简 要 介绍 一 下 国外 信息 安全 相关 法 规 的 状况 。 美 国 先后 发 布 了 一 系列 与 信息 安全 相关 的 法 案 ， 如 : 《信息 自由 
法 》、《 爱 国 者 法 》、《 联 邦 信息 安全 管理 法 》、《 公 众 公司 会 计 改 革 与 投资 者 保护 法 》 等 。 


《信息 自由 法 》 (Freedom of Information Act of 1966，FOIA) 确定 了 美国 对 政府 信息 进行 立法 保护 的 首要 原则 是 向 公 
众 公开 原则 (也 叫 信息 公开 原则 ) ， 这 一 原则 是 其 他 信息 安全 保护 法 律 的 基础 。 该 法 案 主 要 是 保障 公民 的 个 人 自由 ， 但 也 需要 保 
障 国家 的 安全 。 因 此 ， 该 法 案 以 “例外 ”的 立法 方式 ， 将 需要 保护 的 信息 加 以 列举 。 列 入 “例外 ”的 信息 类 别 包括 : 国家 安全 问 
题 、 内 务 材料 、 法 律 规 定 座 免 的 材料 、 商 业 秘密 、 工 作文 件 (当事人 特权 性 材料 ) 、 个 人 隐私 文件 、 执 法 档案 、 金 融 机 构 材 料 ， 
以 及 地 质数 据 。 


《爱国 者 法 》 是 “9.11” 事 件 以 后 美国 为 保障 国家 安全 颁布 的 最 为 重要 的 一 部 法 律 ， 也 是 目前 争议 最 大 的 一 部 法 律 。 该 法 案 
从 法 律 上 授予 美国 国内 执法 机 构 和 国际 情报 机 构 较 大 的 权力 ， 目 的 是 预防 、 侦 察 和 打击 恐怖 主义 活动 ， 使 美国 人 民 能 够 生活 在 安 
全 的 环境 中 。 由 于 该 法 赋予 联邦 政府 的 权力 过 大 ， 引 起 美国 国内 民权 人 士 的 担忧 ， 并 产生 若干 诉 案 。 该 法 对 美国 现 有 的 十 几 部 法 
律 做 出 了 修改 ， 此 外 还 赋予 政府 对 国外 银行 和 100 万 美元 以 上 的 私人 账户 进行 调查 的 权力 。 





《联邦 信息 安全 管理 法 》 属 于 《电子 政务 法 》 的 第 三 部 分 ， 该 法 案 对 国家 信息 安全 管理 职责 进行 了 授权 ， 国 家 标准 与 技术 研 
究 院 负责 为 联邦 政府 使 用 的 系统 制定 安全 标准 与 指南 ， 管 理 和 预算 办 公 室 (OMB) 主任 负责 对 安全 政策 、 原 则 、 标 准 、 指 南 等 
的 制定 、 执 行 (包括 遵守 ) 情况 进行 监督 。《 电 子 政务 法 》 对 联邦 政府 信息 技术 管理 和 规划 的 每 一 个 方面 ， 从 危机 管理 到 电子 档 
案 及 查询 索引 都 做 了 规定 。 


《公众 公司 会 计 改 革 与 投资 者 保护 法 》 又 名 《 萨 班 斯 -奥克斯 利 法 》， 是 在 安然 公司 、 世 通 公 司 财务 欺诈 事件 背景 下 由 美国 
国会 出 台 的 。 该 法 案 对 美国 《1933 年 证 券 法 》、《1934 年 证 券 交 易 法 》 作 了 较 多 修订 ， 在 会 计 职业 监管 、 公 司 治理 、 证 券 市 场 
监管 等 方面 作出 了 许多 新 的 规定 。 该 法 案 主 要 目的 是 加 强 对 上 市 公司 内 部 金融 信息 的 监管 ， 以 维护 金融 市 场 的 秩序 和 安全 。 该 法 
案 要 求 公 众 公司 保证 其 内 部 金融 控制 的 准确 性 ， 规 定 由 证 券 交 易 委员 会 (Securities&Exchange Commission，SEC) 制定 规 
则 ， 强 制 要 求 公众 公司 年 度 报告 中 包含 内 部 控制 报告 及 其 评价 ， 并 要 求 会 计 师 事务 所 对 公司 管理 层 做 出 的 评价 出 具 鉴 定 报告 。 为 
了 保护 投资 者 以 及 公众 的 利益 ， 该 法 案 要 求 成 立 独立 的 公众 公司 会 计 监 察 委员 会 (Public Company Accounting Oversight 
Board，PCAOB) ， 监 管 执 行 公众 公司 审计 的 会 计 师 事务 所 及 注册 会 计 师 ， 监 督 公众 公司 的 审计 以 及 相关 事项 ， 以 便 为 购买 及 
持 有 其 证 券 的 公司 或 公众 投资 者 编制 准确 、 独 立 的 审计 报告 。 


10.2 ”信息 安全 政策 


言 息 安 全 相关 政策 是 我 国信 息 安 全 保障 体系 要 素 中 的 重要 组 成 部 分 。 相 对 于 法 律 法规 而 言 ， 政 策 的 时 效 性 比较 强 ， 信 息 安 全 
相关 政策 的 制定 和 发 布 ， 能 更 好 地 适应 信息 安全 形势 的 发 展 ， 能 更 快 、 更 及 时 地 对 当前 及 未 来 一 段 时 间 的 信息 安全 保障 工作 给 予 
指导 和 支持 。 


10.2.1 国家 信息 安全 政策 概况 


2003 年 ， 中 共 中 央 办 公 厅 发 布 了 第 27 号 文件 《国家 信息 化 领导 小 组 关于 加 强 信息 安全 保障 工作 的 意见 》 (中 办 发 [2003]27 
号 ) 。 该 文件 明确 了 我 国信 息 安全 保障 工作 的 方针 和 总 体 要 求 、 加 强 信息 安全 保障 工作 的 主要 原则 ， 以 及 需要 重点 加 强 的 信息 安 
全 保障 工作 。27 号 文 的 发 布 具 有 重大 意义 ， 它 标志 着 我 国信 息 安全 保障 工作 有 了 总 体 纲领 ， 并 提出 要 在 5 年 内 建设 中 国信 息 安全 
保障 体系 。 我 国 最 近 十 余年 的 信息 安全 保障 工作 都 是 围绕 此 政策 性 文件 来 展开 和 推进 的 ， 该 文件 大 大 促进 了 我 国信 息 安全 保障 建 
设 的 各 项 工作 。 


我 国 加 强 信息 安全 保障 工作 的 方针 是 积极 防御 、 综 合 防范 。 我 国 加 强 信息 安全 保障 工作 的 总 体 要 求 是 : 坚持 积极 防御 、 综 合 
防范 的 方针 ， 全 面 提高 信息 安全 防护 能 力 ， 重 点 保障 基础 信息 网 络 和 重要 信息 系统 安全 ， 创 建安 全 健康 的 网 络 环境 ， 保 障 和 促进 
言 息 化 发 展 ， 保 护 公众 利益 ， 维 护 国家 安全 。 


我 国 加 强 信息 安全 保障 工作 的 主要 原则 是 : 立足 国情 ， 以 我 为 主 ， 坚 持 技术 与 管理 并 重 ; 正确 处 理 安全 和 发 展 的 关系 ， 以 安 
全 保 发 展 ， 在 发 展 中 求 安 全 ; 统筹 规划 ， 突 出 重点 ， 强 化 基础 工作 ; 明确 国家 、 企 业 、 个 人 的 责任 和 义务 ， 充 分 发 挥 各 方面 的 积 
极 性 ， 共 同 构筑 国家 信息 安全 保障 体系 。 


为 进一步 提高 信息 安全 保障 工作 的 能 力 和 水 平 ， 维 护 公 众 利 益 和 国家 安全 ， 促 进 信息 化 建设 健康 发 展 ，27 号 文 提出 了 我 国 
现 阶段 加 强 信息 安全 保障 工作 的 主要 任务 : 实行 信息 安全 等 级 保护 ， 加 强 以 密码 技术 为 基础 的 信息 保护 和 网 络 信任 体系 建设 ， 建 
设 和 完善 信息 安全 监控 体系 ， 重 视 信息 安全 应 急 处 理工 作 ， 加 强 信 息 安 全 技术 研究 开发 ， 推 进 信息 安 全 产业 发 展 ， 加 强 信息 安全 
法 制 建设 和 标准 化 建设 ， 加 快 信息 安全 人 才 培 养 ， 增 强 全 民 信 息 安 全 意识 ， 保 证 信息 安全 资金 ， 加 强 对 信息 安全 保障 工作 的 领 
导 ， 建 立 健全 信息 安全 管理 责任 制 。 


中 办 发 [2003]27 号 政策 文件 提出 了 我 国信 息 安全 保障 工作 的 总 体 纲领 明确 了 信息 安全 保障 工作 的 总 体 要 求 、 工 作 原 则 和 重 
点 工作 内 容 。 依 托 于 这 一 纲领 性 文件 ， 围 绕 信息 安全 保障 体系 ， 我 国 已 经 先后 制定 、 发 布 并 落实 了 一 些 典 型 的 信息 安全 政策 ， 如 
一 系列 风险 评估 、 等 级 保护 、 电 子 政务 类 、 应 急 预 案 的 政策 ; 在 其 他 相关 领域 ， 如 灾难 备份 、 管 理 体 系 、 监 控 、 应 急 、 信 任 体 
系 、 产 品 和 服务 认证 、 人 员 培 训 和 认证 等 方面 ， 也 发 布 了 相应 的 政策 。 


进入 “十 二 五 ”后 ，“ 十 一 五 ”期 间 发 布 的 各 项 政策 均 将 进入 落实 期 以 及 全 面 普 推广 阶段 ; 同时 ， 信 息 安全 相关 政策 将 由 电 
子 政务 领域 向 其 他 领域 拓展 ， 如 在 关系 到 国计民生 的 行业 、 公 共 服 务 类 、 商 业 性 、 一 般 业务 类 领域 ， 均 会 制定 若干 信息 安全 相关 
政策 。 


目前 ， 信 息 安 全 正在 由 “狭义 信息 安全 ”向 “广义 信息 安全 ”延伸 ，IT 服 务 形式 越 来 越 多 样 化 ， 越 来 越 普及 ， 新 技术 、 新 应 
用 不 断 涌现 。 这 种 趋势 下 ， 必 然 需要 新 的 政策 性 文件 出 台 ， 以 指导 和 规范 更 广 范畴 的 信息 安全 保障 工作 。 


10.2.2 ”信息 安全 相关 国家 政策 


为 加 强 信息 安全 保障 工作 ， 我 国 已 经 先后 发 布 了 一 系列 与 信息 安全 相关 的 政策 文件 。 
1. 风 险 评估 相关 政策 
《关于 开展 信息 安全 风险 评估 工作 的 意见 》 


国家 网 络 与 信息 安全 协调 小 组 于 2006 年 1 月 5 日 发 布 该 意见 (国信 办 [2006]5 号 ) ,明确 了 信息 安全 风险 评估 工作 的 基本 内 容 


和 原则 : 信息 安全 风险 评估 就 是 从 风险 管理 角度 ， 运 用 科学 的 方法 和 手段 ， 系 统 地 分 析 网 络 与 信息 系统 所 面临 的 威胁 及 其 存在 的 
脆弱 性 ， 评 估 安 全 事件 一 旦 发 生 可 能 造成 的 危害 程度 ， 提 出 有 针对 性 的 抵御 威胁 的 防护 对 策 和 整改 措施 。 为 防范 和 化 解 信息 安全 
风险 ， 将 风险 控制 在 可 接受 的 水 平 ， 最 大 限度 地 保障 网 络 和 信息 安全 提供 科学 依据 。 信 息 安全 风险 评估 分 自 评估 、 检 查 评估 两 种 
形式 。 应 以 自 评估 为 主 ， 自 评估 和 检查 评估 相互 结合 、 互 为 补充 。 信 息 安 全 风险 评估 工作 要 按照 “严密 组 织 、 规 范 操作 、 讲 求 科 
学 、 注 重 实效 ”的 原则 开展 。 


该 意见 明确 提出 了 对 信息 安全 风险 评估 的 工作 要 求 : 信息 安全 风险 评估 作为 信息 安全 保障 工作 的 基础 性 工作 和 重要 环节 ， 应 
贯穿 于 网 络 和 信息 系统 建设 运行 的 全 过 程 。 在 网 络 与 信息 系统 的 设计 、 验 收 及 运行 维护 阶段 均 应当 进 行 信 息 安全 风险 评估 。 


此 意见 还 规范 了 开展 信息 安全 风险 评估 工作 的 有 关 安 排 : 要 求 加 强 信 息 安全 风险 评估 的 基础 性 工作 。 要 加 快 制 定 和 完善 信息 
安全 风险 评估 有 关 技 术 标 准 ， 尽 快 完善 并 颁布 《信息 安全 风险 评估 指南 》 和 《信息 安全 风险 管理 指南 》 等 国家 标准 。 同 时 要 求 抓 
紧 研究 制定 有 关 信 息 安全 服务 资质 的 管理 办 法 ; 加强 信 息 安 全 风险 意识 的 宣传 教育 ， 加 快 培养 信息 安全 风险 评估 的 专门 人 才 ; 加 
强 信 息 安全 风险 评估 工作 的 组 织 领 导 。 


《关于 加 强国 家 电子 政务 工程 建设 项 目 信息 安全 风险 评估 工作 的 通知 》 


国家 发 展 改革 委员 会 、 公 安 部 、 国 家 保密 局 于 2008 年 8 月 6 日 联合 发 布 该 通知 (发 改 高 技 [2008]2071 号 ) ， 依 据 《 国 家 电子 
政务 工程 建设 项 目 管理 暂行 办 法 》 (国家 发 改 委 令 [2007] 第 55 号 ) 制定 ， 其 目的 是 为 了 贯彻 落实 《国家 信息 化 领导 小 组 天 于 加 强 
言 息 安全 保障 工作 的 意见 》 (中 办 发 [2003]27 号 ) ， 加 强 基 础 信息 网 络 和 重要 信息 系统 安全 保障 ， 加 强 和 规范 国家 电子 政务 工程 
建设 项 目 信息 安全 风险 评估 工作 。 


该 通知 明确 了 电子 政务 项 目 信 息 安全 风险 评估 的 主要 内 容 : 分 析 信 息 系统 资产 的 重要 程度 ， 评 估 信息 系统 面临 的 安全 威胁 、 
存在 的 脆弱 性 、 已 有 的 安全 措施 和 残余 风险 的 影响 等 。 涉 密 信息 系统 的 风险 评估 应 按照 《涉及 国家 秘密 的 信息 系统 分 级 保护 管理 
办 法 》 等 国家 有 关 保 密 规定 和 标准 ， 进 行 系统 测评 并 履行 审批 手续 。 非 涉 密 信息 系统 的 风险 评估 应 按照 《信息 安全 等 级 保护 管理 
办 法 》 等 有 关 要 求 ， 可 委托 同一 专业 测评 机 构 完成 等 级 测评 和 风险 评估 工作 ， 并 形成 等 级 测评 报告 和 风险 评估 报告 。 该 通知 要 求 
将 “信息 安全 风险 评估 ”作为 电子 政务 项 目 验 收 的 重要 内 容 。 项 目 建 设 单位 向 审批 部 门 提出 项 目 竣工 验收 申请 时 ， 应 提交 该 项 目 
言 息 安全 风险 评估 相关 文档 ， 主 要 包括 《涉及 国家 秘密 的 信息 系统 使 用 许可 证 》 和 《涉及 国家 秘密 的 信息 系统 检测 评估 报告 》，, 
非 涉 密 信息 系统 安全 保护 等 级 备案 证 明 ， 以 及 相应 的 安全 等 级 测评 报告 和 信息 安全 风险 评估 报告 等 。 该 通知 规定 涉 密 信息 系统 的 
风险 评估 ， 由 国家 保密 局 涉 密 信息 系统 安全 保密 测评 中 心 承担 。 非 涉 密 信息 系统 的 风险 评估 ， 由 国家 信息 技术 安全 研究 中 心 、 中 
国信 息 安全 测评 中 心 、 公 安 部 信息 安全 等 级 保护 评估 中 心 等 三 家 专业 测评 机 构 承 担 。 该 通知 要 求 将 信息 安全 风险 评估 经 费 计 入 项 
目 总 投资 ,项 目 投入 运行 后 ， 应 定期 开展 信息 安全 风险 评估 。 





2. 保 密 管理 相关 政策 
《关于 加 强 政府 信息 系统 安全 和 保密 管理 工作 的 通知 》 
国务 院 办公 厅 发 布 该 通知 ( 国 办 发 [2008]17 号 ) 对 加 强 政府 信息 系统 安全 和 保密 管理 工作 提出 了 四 点 要 求 ， 主 要 内 容 如 下 。 


一 是 加 强 组 织 领 导 ， 明 确 安全 责任 。 要 求 把 信息 安全 和 保密 工作 列 入 重要 议事 日 程 ， 明 确 一 名 主管 领导 ; 要 按照 “ 谁 主管 谁 
负责 ， 谁 运行 谁 负责 ， 谁 使 用 谁 负责 ”的 原则 ， 健 全 信息 安全 和 保密 责任 制 ， 把 责任 落实 到 具体 部 门 、 具 体 岗 位 和 个 人 。 二 是 强 
化 教育 培训 ， 提 高 安全 意识 和 防护 技能 。 要 求 组 织 信息 安全 和 保密 基本 技能 培训 ， 开 展 信 息 安 全 和 保密 形势 分 析 ; 深入 学 习 宣 传 
信息 安全 “五 禁止 ”规定 : 茶 止 将 涉 密 信息 系统 接 入 国际 互联 网 及 其 他 公共 信息 网 络 ; 茶 止 在 涉 密 计算 机 与 非 涉 密 计 算 机 之 间 交 
叉 使 用 U 盘 等 移动 仓储 设备 ; 蔡 止 在 没有 防护 措施 的 情况 下 将 国际 互联 网 公共 信息 网 络 上 的 数据 复制 到 涉 密 信息 系统 ; 禁止 涉 密 
计算 机 、 涉 密 移动 存储 设备 与 非 涉 密 计算 机 、 非 涉 密 移动 存储 设备 混用 ; 禁止 使 用 具有 无 线 互 联 功能 的 设备 处 理 涉 密 信息 。 三 是 
建立 健全 安全 管理 制度 ， 完 善 安全 措施 和 手段 。 从 管理 制度 要 求 和 技术 手段 控制 两 方面 加 强 系统 安全 。 四 是 做 好 信息 安全 检查 工 


作 ， 依 法 追究 责任 。 
3. 应 急 处 理 相关 政策 
《关于 印发 〈 国 家 网 络 与 信息 安全 事件 应 急 预 案 》 的 通知 》 


2003 年 ， 国 务 院 成 立 应 急 办 颁布 了 《国家 突 发 公共 卫生 事件 应 急 条 例 》; 2006 年 ， 国 务 院 颁 布 了 《国家 突 发 公共 事件 总 体 
应 急 预 案 》， 定 义 了 自然 灾害 、 事 故 灾 难 、 公 共 卫 生 事 件 、 社 会 安全 事件 四 大 类 公共 事件 ， 之 后 国家 制定 了 《国家 网 络 与 信息 安 
全 事件 应 急 预案 》; 2007 年 ， 全 国人 大 常委 会 颁布 了 《国家 突 发 事件 应 对 法 》， 将 应 急 相 天 事项 提升 到 国家 法 律 的 高 度 。2008 
年 ， 国 务 院 办 公 厅 发 布 该 通知 〈( 国 办 函 [2008]168 号 ) 。 


《国家 网 络 与 信息 安全 事件 应 急 预 案 》 对 网 络 与 信息 安全 事件 的 类 别 和 级 别 进行 了 划分 。 网 络 与 信息 安全 事件 分 为 有 害 程序 
事件 、 网 络 攻击 事件 、 信 息 破 坏事 件 、 信 息 内 容 安全 事件 、 设 备 设施 故障 和 灾害 性 事件 等 类 别 。 了 网络 与 信息 安全 事件 分 为 四 级 : 
特别 重大 ( 工 级 ) 、 重 大 ( 工 级 ) 、 较 大 ( 亚 级 ) 、 一 般 (IV 级 ) 。 此 预案 也 对 应 急流 程 进行 了 阶段 划分 ， 框 架 上 分 为 预防 预 
警 、 应 急 处 置 、 后 期 处 置 三 个 阶段 。 预 案 也 对 组 织 体系 与 职责 进行 了 明确 ， 并 制定 了 综合 的 保障 措施 ， 包 括 应 急 队伍 、 经 费 、 物 
资 、 通 信 、 科 技 等 方面 。 预 案 还 提出 了 相应 的 监督 管理 要 求 ， 包 括 宣 传教 育 、 培 训 、 演 练 、 责 任 与 奖惩 等 方面 。 


4. 安 全 检查 相关 政策 
《关于 印发 《政府 信息 系统 安全 检查 办 法 的 通知 》 


国务 院 办 公 厅 发 布 该 通知 ( 国 办 发 [2009]28 号 ) ， 它 是 依据 《关于 加 强 政府 信息 系统 安全 和 保密 管理 工作 的 通知 》 ( 国 办 发 
[2008]17 号 ) 制定 的 。 通 知 明确 了 政府 信息 系统 安全 检查 的 检查 范围 、 检 查 重点 和 检查 方式 。 


使 查 范围 包括 各 级 政府 及 其 部 门 自行 运行 、 维 护 管理 以 及 委托 其 他 机 构 运 行 、 维 护 管理 的 办 公 系 统 、 业 务 系统 、 网 站 系统 
等 。 检 查 重点 是 国务 院 各 部 门 和 地 方 政 府 的 办 公 系 统 、 重 要 业务 系统 、 门 户 网 站 以 及 重要 新 闻 网 站 。 检 查 方式 采取 自 查 与 抽查 相 
结合 的 方式 进行 ， 若 需要 ， 可 委托 相应 部 门 进行 安全 检测 来 参与 安全 检查 工作 。 工 信 部 负责 协调 、 指 导 、 监 督 ， 公 安 、 安 全 、 保 
密 、 密 码 等 部 门 按 职责 分 工 参 与 安全 检查 工作 。 


为 规范 安全 检查 工作 ， 国 家 已 经 制定 并 发 布 了 三 个 版 本 的 检查 指南 : 《2009 年 度 政府 信息 系统 安全 检查 指南 》 (工信部 协 
[2009]168 号 ) 、《2010 年 度 政 府 信 息 系统 安全 检查 指南 》 (工信部 协 [2010]143 号 ) 和 《2011 年 度 政 府 信息 系统 安全 检查 指 
南 》 (工信部 协 [2011]214 号 ) 。 


5. 工 控 安 全 相关 政策 
《关于 加 强 工业 控制 系统 信息 安全 管理 的 通知 》 


2011 年 9 月 29 日 发 布 该 通知 (工信部 协 [2011]451 号 ) ， 强 调 了 工业 控制 系统 信息 安全 的 重要 性 。 工 业 控 制 系统 信息 安全 事 
关 工业 生产 运行 、 国 家 经 济 安全 和 人 民生 命 财 产 安全 。 该 通知 的 目的 是 为 了 切实 加 强 工业 控制 系统 信息 安全 管理 。 通 知 对 各 省 市 
人 民政 府 、 国 务 院 有 关 部 门 、 有 关 国有 大 型 企业 就 工业 控制 系统 信息 安全 管理 提出 了 四 个 方面 的 要 求 : 充分 认识 加 强 工业 控制 系 
统 信息 安全 管理 的 重要 性 和 紧迫 性 ， 明 确 重点 领域 工业 控制 系统 信息 安全 管理 要 求 ， 建 立 工业 控制 系统 安全 测评 检查 和 漏洞 发 布 
制度 ， 及 进一步 加 强 工业 控制 系统 信息 安全 工作 的 组 织 领 导 。 


6. 等 级 保护 相关 政策 


早 在 1994 年 ， 国 务 院 147 号 令 《 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 就 对 “等 级 保护 ”提出 了 规定 : 计算 机 信息 
系统 实行 安全 等 级 保护 。1999 年 ， 我 国 出 版 了 国家 强制 性 标准 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》 (GB 17859 一 
1999) ， 定 义 了 等 级 保护 的 五 个 级 别 。 第 一 级 : 用 户 自主 保护 级 ; 第 二 级 : 系统 审计 保护 级 ; 第 三 级 : 安全 标记 保护 级 ; 第 四 


: 结构 化 保护 级 ; 第 五 级 : 访问 验证 保护 级 。 
言 息 安 全 等 级 保护 法 规 政策 体系 


近 几 年 ， 为 组 织 开展 信息 安全 等 级 保护 工作 ， 由 公安 部 牵头 组 织 ， 会 同 国家 保密 局 、 国 家 密码 管理 局 、 原 国务 院 信息 办 和 发 
改 委 等 部 门 相继 出 台 了 一 系列 文件 ， 对 等 保 具体 工作 提供 了 指导 意见 和 规范 ， 这 些 文件 初步 构成 了 信息 安全 等 级 保护 法 规 政策 体 
系 ， 如 图 10-4 所 示 。 
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| 关于 印发 《信息 安全 等 级 保护 管理 办 法 》 的 通知 〈 公 通 字 【2007】43 号 ) 
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《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 《国家 信息 化 领导 小 组 关于 加 强 信 息 安全 保障 工作 的 意见 » 


(中 办 发 【2003】27 号 ) 


(国务 院 令 第 147 号 ，1994) 








图 10-4 信息 安全 等 级 保护 法 规 政策 体系 


《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 和 《国家 信息 化 领导 小 组 关于 加 强 信息 安全 保障 工作 的 意见 》 分 别 为 信息 
安全 保护 工作 提供 了 法 律 依 据 和 政策 依据 。 前 者 明确 规定 了 “计算 机 信息 系统 实行 安全 等 级 保护 ， 安 全 等 级 的 划分 标准 和 安全 等 
级 保护 的 具体 办 法 ， 由 公安 部 会 同 有 关 部 门 制定 ”。 后 者 明确 指出 : “实行 信息 安全 等 级 保护 ， 要 重点 保护 基础 信息 网 络 和 关系 
国家 安全 、 经 济 命脉 、 社 会 稳定 等 方面 的 重要 信息 系统 ， 抓 紧 建立 信息 安全 等 级 保护 制度 ， 制 定 信息 安 全 等 级 保护 的 管理 办 法 和 
技术 指南 ”。 


《关于 信息 安全 等 级 保护 工作 的 实施 意见 》 和 《信息 安全 等 级 保护 管理 办 法 》 对 等 级 保护 工作 的 开展 提供 宏观 指导 和 约束 。 
前 者 是 政策 性 文件 ， 主 要 内 容 是 贯彻 落实 信息 安全 等 级 保护 制度 的 基本 要 求 ; 明确 等 级 保护 工作 的 基本 内 容 、 工 作 要 求 和 实施 计 
划 ， 以 及 各 部 门 工作 职责 分 工 等 。 后 者 是 部 门 规章 ， 明 确 了 信息 安全 等 级 保护 制度 的 基本 内 容 、 流 程 及 工作 要 求 ， 包 括 信息 系统 
定 级 、 备 案 、 安 全 建设 整改 和 等 级 测评 的 实施 与 管理 ， 以 及 信息 安全 产品 和 测评 机 构 选择 等 内 容 。 


《天 于 开展 全 国 重要 信息 系统 安全 等 级 保护 定 级 工作 的 通知 》 是 指导 定 级 环节 工作 的 政策 文件 ， 该 通知 对 全 国 范围 内 开展 的 
重要 信息 系统 安全 等 级 保护 定 级 工作 进行 部 署 ， 标 志 着 全 国信 息 安全 等 级 保护 工作 的 全 面 开展 。 


《信息 安全 等 级 保护 备案 实施 细则 》 是 指导 备案 环节 工作 的 政策 文件 ， 该 文件 规定 了 公安 机 关 受 理 信 息 系 统 运营 使 用 单位 信 
息 系 统 备案 工作 的 内 容 、 流 程 、 审 核 等 ， 对 各 级 公安 机 关 受 理 信息 系统 备案 工作 进行 指导 。 


《关于 开展 信息 系统 等 级 保护 安全 建设 整改 工作 的 指导 意见 》、《 关 于 加 强国 家 电子 政务 工程 建设 项 目 信息 安全 风险 评估 工 
作 的 通知 》 和 《关于 进一步 推进 中 央企 业 信息 安全 等 级 保护 工作 的 通知 》 是 指导 安全 建设 整改 环节 工作 的 政策 文件 。 前 者 明确 了 
非 涉及 国家 秘密 信息 系统 开展 安全 建设 整改 工作 的 目标 、 内 容 、 流 程 和 要 求 等 ; 中 者 要 求 非 涉 密 国家 电子 政务 项 目 开 展 等 级 测评 
和 信息 安全 风险 评估 要 按照 《信息 安全 等 级 保护 管理 办 法 》 进 行 ， 明 确 了 项 目 验收 条 件 为 公安 机 天 颁发 的 信息 系统 安全 等 级 保护 


备案 证 明 、 等 级 测评 报告 和 风险 评 佑 报告， 后 者 是 公安 部 和 国资 委 联 合 发 布 的 政策 文件 ， 对 中 央企 业 信息 系统 安全 等 级 保护 工作 
提出 了 明确 要 求 。 


《关于 推动 信息 安全 等 级 保护 测评 体系 建设 和 开展 等 级 测评 工作 的 通知 》 和 《关于 印发 《信息 系统 安全 等 级 测评 报告 模板 
(试行 ) 》 的 通知 》 是 指导 等 级 测评 环节 工作 的 政策 文件 。 前 者 确定 了 开展 信息 安全 等 级 保护 测评 体系 建设 和 等 级 测评 工作 的 目 
标 、 内 容 和 工作 要 求 ， 规 定 了 测评 机 构 的 条 件 、 业 务 范围 和 禁止 行为 ， 规 范 了 测评 机 构 申请 、 受 理 、 测 评 工 程 师 管 理 、 测 评 能 
评估 、 审 核 、 推 荐 的 流程 和 要 求 ; 后 者 明确 了 等 级 测评 活动 的 内 容 、 方 法 和 测评 报告 格式 等 。 


《公安 机 关 信 息 安全 等 级 保护 检查 工作 规范 (试行) 》 和 《关于 开展 信息 安全 等 级 保护 专项 监督 检查 工作 的 通知 》 是 指导 监 
督 检查 环节 工作 的 政策 文件 。 前 者 规定 了 公安 机 关 开展 信息 安全 等 级 保护 检查 工作 的 内 容 、 程 序 、 方 式 以 及 相关 法 律 文书 等 。 后 
者 是 公安 部 发 给 各 公安 局 公共 信息 网 络 安全 监察 处 的 文件 ， 要 求 自 2010 年 9 月 15 日 起 至 12 月 15 日 ， 在 全 国 范围 内 开展 为 期 三 个 
月 的 信息 安全 等 级 保护 专项 监督 检查 工作 ， 并 明确 了 检查 目的 、 检 查 内 容 、 检 查 方式 和 进度 安排 。 


以 上 文件 构成 了 信息 系统 安全 等 级 保护 工作 开展 的 法 规 政策 体系 ， 为 组 织 开 展 等 级 保护 工作 、 建 设 整 改 工 作 、 等 级 测评 工作 
和 检查 工作 明确 了 工作 目标 、 工 作 要 求 和 工作 流程 。 


《关于 信息 安全 等 级 保护 工作 的 实施 意见 》 


江 


见 ( 公 字 通 [2004]66 号 ) 明确 了 信息 安全 等 级 保护 是 保障 和 促进 信息 化 建设 健康 发 展 的 一 项 基本 制度 ， 其 核心 是 对 信息 
安全 分 等 级 、 按 标准 进行 建设 、 管 理 和 监督 ; 公安 机 天 负责 信息 安全 等 级 保护 工作 的 监督 、 检 查 、 指 导 ， 国 家 保密 工作 部 门 负责 
等 级 保护 工作 中 有 关 保 密 工作 的 监督 、 检 查 、 指 导 ， 国 家 密码 管理 部 门 负责 等 级 保护 工作 中 有 关 密 码 工 作 的 监督 、 检 查 、 指 导 ， 
国务 院 信息 化 工作 办 公 室 负责 部 门 间 的 协调 。 


该 意见 明确 了 信息 安全 等 级 保护 制度 的 基本 内 容 。 信 息 安全 等 级 保护 是 指 对 国家 秘密 信息 、 法 人 和 其 他 组 织 及 公民 的 专 有 信 
息 以 及 公开 信息 和 存储 、 传 输 、 处 理 这 些 信 息 的 信息 系统 分 等 级 实行 安全 保护 ， 对 信息 系统 中 使 用 的 信息 安全 产品 实行 按 等 级 管 
理 ， 对 信息 系统 中 发 生 的 信息 安全 事件 分 等 级 响应 、 处 置 。 该 意见 明确 了 安全 保护 等 级 划分 依据 、 等 级 名 称 定义 及 适用 范围 : 根 
据 信息 和 信息 系统 在 国家 安全 、 经 济 建设 、 社 会 生活 中 的 重要 程度 ， 遭 到 破坏 后 对 国家 安全 、 社 会 秩序 、 公 共 利 益 以 及 公民 、 法 
人 和 其 他 组 织 的 合法 权益 的 危害 程度 ， 信 息 和 信息 系统 的 安全 保护 等 级 划分 为 五 级 ， 第 一 级 为 自主 保护 级 ， 第 二 级 为 指导 保护 
级 ， 第 三 级 为 监督 保护 级 ， 第 四 级 为 强制 保护 级 ， 第 五 级 为 专 控 保 护 级 。 


该 意见 明确 了 实施 信息 安全 等 级 保护 工作 的 要 求 。 实 施 信息 安全 等 级 保护 应 当做 好 以 下 六 个 方面 的 工作 : 完善 标准 ， 分 类 指 
导 ; 科学 定 级 ， 严 格 备案 。 在 给 重要 信息 和 信息 系统 定 级 时 ， 应 请 专家 评审 委员 会 给 予 咨询 评审 ; 建设 整改 ， 落 实 措施 。 包 括 已 
有 、 新 建 、 改 建 、 扩 建 的 信息 系统 ; 自 查 自 纠 ， 落 实 要 求 ; 建立 制度 ， 加 强 管理 ; 监督 检查 ， 完 善 保 护 。 公 安 机关 重 点 对 第 三 、 
第 四 级 系统 进行 监督 检查 。 





《关于 印发 〈 信 息 安全 等 级 保护 管理 办 法 》 的 通知 》 


公安 部 、 国 家 保密 局 、 国 家 密码 管理 局 、 原 国务 院 信息 化 工作 办 公 室 四 部 委 联 合 发 布 该 通知 ( 公 字 通 [2007]43 号 ) ，《 信 息 
安全 等 级 保护 管理 办 法 》 是 部 门 规章 。 管 理 办 法 中 明确 了 等 级 保护 工作 的 原则 : 国家 信息 安全 等 级 保护 坚持 自主 定 级 、 自 主 保护 
的 原则 。 管 理 办 法 对 五 个 保护 等 级 进行 了 定义 ， 并 规定 了 保护 、 监 督 、 检 查 的 强度 。 


管理 办 法 对 等 级 保护 的 实施 与 管理 提出 了 明确 要 求 。 具 体 实 施 等 级 保护 的 工作 应 参照 GB/T 25058《 信 息 系 统 安 全 等 级 保护 
实施 指南 》; 确定 安全 保护 等 级 应 参照 GB/T 22240《 信 息 系统 安全 等 级 保护 定 级 指南 》; 系统 建设 应 参照 GB/T 22239《 信 息 系 
统 安全 等 级 保护 基本 要 求 》 等 ; 等 级 测评 应 参照 CB/T 28448《 信 息 系统 安全 等 级 保护 测评 要 求 》 等 。 二 级 及 以 上 系统 要 求 备 

， 由 公安 机 关 颁 发 备案 证 明 ; 三 级 及 以 上 系统 要 求 定期 进行 自 查 、 测 评 和 检查 ; 三 级 及 以 上 系统 在 选择 信息 安全 产品 时 应 满足 
管理 办 法 规定 的 条 件 ; 三 级 及 以 上 系统 在 选择 测评 机 构 时 应 满足 管理 办 法 规定 的 条 件 ; 涉 密 信息 系统 应 当 依据 国家 信息 安全 等 级 


保护 的 基本 要 求 ， 按 照 国 家 保密 工作 部 门 有 关 涉 密 信息 系统 分 级 保护 的 管理 规定 和 技术 标准 ， 结 合 系统 实际 情况 进行 保护 ; 国家 
密码 管理 部 门 对 信息 安全 等 级 保护 的 密码 实行 分 类 分 级 管理 ， 采 用 密码 对 涉及 国家 秘密 的 信息 和 信息 系统 进行 保护 的 ， 应 报 经 国 
家 密码 管理 局 审批 ; 采用 密码 对 不 涉及 国家 秘密 的 信息 和 信息 系统 进行 保护 的 ， 须 遵守 《商用 密码 管理 条 例 》 和 密码 分 类 分 级 保 
护 有 关 规 定 与 相关 标准 ， 其 密码 的 配备 使 用 情况 应 当 向 国家 密码 管理 机 构 备案 。 


《关于 开展 全 国 重 要 信息 系统 安全 等 级 保护 定 级 工作 的 通知 》 


根据 国家 网 络 与 信息 安全 协调 小 组 2007 年 的 工作 部 署 ， 公 安 部 、 国 家 保密 局 、 国 家 密码 管理 局 、 国 务 院 信息 化 工作 办 公 室 
定 于 2007 年 7 月 至 10 月 在 全 国 范围 内 组 织 开 展 重 要 信息 系统 安全 等 级 保护 定 级 工作 。 该 通知 (公信 安 [2007]861 号 ) 就 是 在 此 背 
景 下 发 布 的 。 


此 通知 明确 了 等 级 保护 的 定 级 范围 ， 包 括 四 大 类 别 的 系统 : 电信 、 广 电 行业 的 公用 通信 了 网、 广播 电视 传输 网 等 基础 信息 网 
络 ， 经 营 性 公众 互联 网 信息 服务 单位 、 互 联网 接 入 服务 单位 、 数 据 中 心 等 单位 的 重要 信息 系统 ; 铁路 、 银 行 、 海 天 、 税 务 、 民 
航 、 电 力 、 证 券 、 保 险 、 外 交 、 科 技 、 发 展 改 革 、 国 防 科技 、 公 安 、 人 事 劳动 和 社会 保障 、 财 政 、 审 计 、 商 务 、 水 利 、 国 土 资 
源 、 能 源 、 交 通 、 文 化 、 教 育 、 统 计 、 工 商行 政 管理 、 邮 政 等 行业 、 部 门 的 生产 、 调 度 、 管 理 、 办 公 等 重要 信息 系统 ; 市 (地 ) 
级 以 上 党 政 机 关 的 重要 网 站 和 办 公信 息 系统 ; 涉及 国家 秘密 的 信息 系统 ( 涉 密 信息 系统 ) 。 


该 通知 明确 了 定 级 工作 的 主要 内 容 ， 包 括 摸底 调查 、 确 定 等 级 、 评 审 与 审批 、 备 案 、 备 案 管理 五 个 方面 。 通 知 还 制定 了 《 信 
息 系统 安全 等 级 保护 定 级 报告 》 模 版 、《 信 息 系统 安全 等 级 保护 备案 表 》、《 涉 及 国家 秘密 的 信息 系统 分 级 保护 备案 表 》 供 建设 
单位 使 用 。 


《关于 开展 信息 安全 等 级 保护 安全 建设 整改 工作 的 指导 意见 》 


该 意见 〈 公 信安 [2009]1429 号 ) 对 已 定 级 信息 系统 (不 包括 涉及 国家 秘密 信息 系统 ) 安全 建设 整改 工作 ， 提 出 了 三 点 意 
见 。 明 确 工作 目标 ， 力 争 在 2012 年 底 前 完成 已 定 级 信息 系统 安全 建设 整改 工作 ; 细 化 工作 内 容 ， 开 展 信息 安全 等 级 保护 安全 管 
理 制度 建设 ， 提 高 信息 系统 安全 管理 水 平 ; 开展 信息 安全 等 级 保护 安全 技术 措施 建设 ， 提 高 信息 系统 安全 保护 能 力 ; 开展 信息 系 
统 安全 等 级 测评 ， 使 信息 系统 安全 保护 状况 逐步 达到 等 级 保护 要 求 。 管 理 制度 建设 、 技 术 措 施 建设 及 测评 工作 ， 均 应 参照 等 保 相 
应 规章 及 标准 。 落 实 工作 要 求 : 统一 组 织 ， 加 强 领 导 ; 循序 渐进 ， 分 步 实施 ; 结合 实际 ， 制 定 规范 ; 认真 总 结 ， 按 时 报 送 。 


该 意见 提供 了 两 份 附件 《信息 安全 等 级 保护 安全 建设 整改 工作 情况 统计 表 》、《 信 息 安全 等 级 保护 安全 建设 整改 工作 指 
南 》。 


7. 加 强 信息 安全 保障 相关 政策 
《国务 院 关 于 大 力 推进 信息 化 发 展 和 切实 保障 信息 安全 的 若干 意见 》 


该 意见 ( 国 发 [2012]23 号 ， 国 务 院 发 布 ) 明确 了 我 国 在 大 力 推进 信息 化 发 展 的 同时 ， 加 强 信息 安全 保障 的 指导 思想 、 主 要 
标 和 近期 主要 任务 。 


对 


加 强 信息 安全 保障 的 指导 思想 是 坚持 积极 利用 、 科 学 发 展 、 依 法 管理 、 确 保安 全 ， 加 强 统筹 协调 和 顶层 设计 ， 健 全 信息 安全 
保障 体系 ， 切 实 增强 信息 安全 保障 能 力 ， 维 护 国 家 信息 安全 ， 促 进 经 济 平 稳 较 快 发 展 和 社会 和 谐 稳定 ; 主要 目标 是 国家 信息 安全 
保障 体系 基本 形成 ， 重 要 信息 系统 和 基础 信息 网 络 安全 防护 能 力 明 显 增 强 ， 信 息 化 装备 的 安全 可 控 水 平 明 显 提高 ， 信 息 安全 等 级 
保护 等 基础 性 工作 明显 加 强 ; 近期 主要 任务 包括 以 下 方面 。 


1) 健全 安全 防护 和 管理 ， 保 障 重点 领域 信息 安全 。 主 要 包括 四 个 方面 的 工作 : 确保 重要 信息 系统 和 基础 信息 网 络 安全 ; 加 
强 政 府 和 涉 密 信息 系统 安全 管理 ; 保障 工业 控制 系统 安全 ; 强化 信息 资源 和 个 人 信息 保护 。 


2) 加 快 能 力 建 设 ， 提 升 网 络 与 信息 安全 保障 水 平 。 主 要 包括 四 个 方面 的 工作 : 夯实 网 络 与 信息 安全 基础 ;加强 网 络 信任 体 
系 建 设 和 密码 保障 ; 提升 网 络 与 信息 安全 监管 能 力 ; 加 快 技术 攻关 和 产业 发 展 。 


3) 完善 政策 措施 。 主 要 包括 四 个 方面 的 工作 : @ 加 强 组 织 领导 。@ 加 强 财税 政策 扶持 。@ 加 快 法 规制 度 和 标准 建设 。 完 善 
言 息 化 发 展 和 网 络 与 信息 安全 法 律 法 规 ， 研 究 制定 政府 信息 安全 管理 、 个 人 信息 保护 等 管理 办 法 。 加 快 制定 三 网 融合 、 云 计算 、 
物 联 网 等 领域 安全 标准 。 积 极 参 与 制定 信息 安全 国际 行为 准则 、 互 联网 治理 等 国际 规则 和 标准 。@ 加 强 宣传 教育 和 人 才 培 养 。 开 
展 面 向 全 社会 的 信息 化 应 用 和 信息 安全 宣传 教育 培训 。 支 持 信息 安全 与 保密 学 科 师 资 队 伍 、 专 业 院 系 、 学 科 体 系 、 重 点 实验 室 建 
设 。 加 强大 中 小 学 信息 技术 、 信 息 安全 和 网 络 道德 教育 ， 在 政府 机 关 和 涉 密 单位 定期 开展 信息 安全 教育 培训 。 各 级 财政 要 加 大 对 
言 息 安全 宣传 教育 和 培训 等 公益 性 活动 的 支持 。 加 快 培养 创新 型 、 应 用 型 信息 化 人 才 。 


8. 物 联网 安全 相关 政策 
《国务 院 关 于 推进 物 联网 有 序 健康 发 展 的 指导 意见 》 


物 联网 是 新 一 代 信息 技术 的 高 度 集成 和 综合 运用 ， 具 有 渗透 性 强 、 带 动作 用 大 、 综 合 效益 好 的 特点 。 推 进 物 联网 的 应 用 和 发 
展 ， 对 于 提高 国民 经 济 和 社会 生活 信息 化 水 平 ， 推 动产 业 结构 调整 和 发 展 方式 转变 等 方面 具有 重要 意义 ， 我 国 已 将 物 联 网 作为 战 
略 性 新 兴 产 业 的 一 项 重要 组 成 内 容 。 


该 指导 意见 ( 国 发 [2013】7 号 ， 国 务 院 发 布 ) 为 推进 物 联网 有 序 健康 发 展 提出 了 指导 思想 、 基 本 原则 和 发 展 目标 ， 明 确 了 
主要 任务 和 保障 措施 。 


1) 指导 思想 。 要 求 以 保障 安全 为 前 提 ， 强 化 标准 规范 ， 有 序 推进 物 联 网 持续 健康 发 展 。 


2) 基本 原则 。 将 安全 可 控 作 为 基本 原则 之 一 ， 要 求 强化 安全 意识 ， 注 重信 息 系统 安全 管理 和 数据 保护 ; 加强 物 联网 重大 应 
用 和 系统 的 安全 测评 、 风 险 评估 和 安全 防护 工作 ， 保 障 物 联 网 重大 基础 设施 、 重 要 业务 系统 和 重点 领域 应 用 的 安全 可 控 。 


3) 发 展 目标 。 安 全 保障 方面 的 目标 是 完善 安全 等 级 保护 制度 ， 建 立 健全 物 联网 安全 测评 、 风 险 评估 、 安 全 防范 、 应 急 处 置 
等 机 制 ， 增 强 物 联网 基础 设施 、 重 大 系统 、 重 要 信息 等 的 安全 保障 能 力 ， 形 成 系统 安全 可 用 、 数 据 安全 可 信 的 物 联网 应 用 系统 。 


4) 主要 任务 。 将 “加 强 防 护 管 理 ， 保 障 信息 安全 ”作为 九 项 主要 任务 之 一 ， 其 主要 内 容 包括 提高 物 联网 信息 安全 管理 与 数 
据 保护 水 平 ， 加 强 信息 安全 技术 的 研发 ， 推 进 信息 安全 保障 体系 建设 ， 建 立 健全 监督 、 检 查 和 安全 评 佑 机制， 有效 保 障 物 联网 信 
息 采 集 、 传 输 、 处 理 、 应 用 等 各 环节 的 安全 可 控 ; 涉及 国家 公共 安全 和 基础 设施 的 重要 物 联网 应 用 ， 其 系统 解决 方案 、 核 心 设备 
以 及 运营 服务 必须 立足 于 安全 可 控 。 


5) 保障 措施 。 将 “加 强人 才 队 伍 建设 ”作为 六 项 保障 措施 之 一 ， 要 求 建立 多 层次 多 类 型 的 物 联网 人 才 培 养 和 服务 体系 。 支 
持 相 关 高 校 和 科研 院 所 加 强 多 学 科 交 叉 整合 ， 加 快 培养 物 联网 相关 专业 人 才 。 


10.2.3 ”国外 信息 安全 相关 政策 


以 美国 为 例 简要 介绍 国外 信息 安全 相关 政策 的 状况 。 美 国 各 届 政 府 对 信息 安全 均 很 重视 ，2000 年 发 布 了 《总 统 国家 安全 战 
了 略 报 告 》， 首 次 将 信息 安全 列 入 其 中 ， 之 后 发 布 了 若干 与 信息 安全 相关 的 政策 与 系列 举措 。 


《网 络 空间 安全 国家 战略 计划 》 于 2003 年 上 发布， 是 美国 第 一 份 专门 针对 信息 安全 而 推出 的 国家 安全 战略 文件 ， 标 志 着 国家 
信息 安全 政策 的 独立 地 位 得 到 最 终 确 认 。 此 计划 系统 地 确定 了 国家 信息 安全 政策 的 三 个 基本 要 素 ， 即 国家 信息 安全 的 8 大 目标 
(利益 ) 、 面 临 的 主要 威胁 以 及 保障 手段 。8 大 目标 为 确保 关键 基础 设施 免 遭 网 络 攻击 ， 减 少 国家 在 网 络 安全 方面 的 漏洞 ， 降 低 


网 络 攻击 的 损失 ， 缩 短 网 络 恢复 时 间 ， 建 立国 家 网 络 安全 的 应 急 响 应 系统 ， 需 要 有 长 期 减少 安全 威胁 或 减少 漏洞 的 计划 ， 建 立国 
家 网 络 安全 技术 交流 和 培训 计划 ， 重 点 保护 联邦 政府 网 络 ( 即 涉 密 网 ) 的 安全 和 加 强国 际 间 的 网 络 安全 合作 。 该 计划 对 美国 网 络 
空间 面临 的 威胁 和 脆弱 性 进行 了 阐述 ， 提 出 了 5 大 优先 发 展 方面 和 47 项 行动 建议 ， 规 定 了 联邦 政府 有 关 部 门 、 州 和 地 方 政 府 、 私 
人 企业 和 机 构 以 及 普通 公民 的 基本 职责 和 行动 方向 。 


奥巴马 上 人 台 不 久 就 亲自 主导 了 一 个 为 期 60 天 的 信息 安全 评估 项 目 ，2009 年 5 月 公布 了 《美国 网 络 安全 评估 》 报 告 ,评估 了 美 
国政 府 在 网 络 空间 的 安全 战略 、 策 略 和 标准 ， 指 出 了 存在 的 问题 ， 并 从 最 高 层 领导 、 数 字 化 能 力 、 安 全 责任 、 信 息 共享 和 事件 反 
应 机 制 5 大 方面 提出 行动 计划 。 奥 巴 马 政府 还 成 立 了 网 络 安 全 办 公 室 ， 任 命 了 网 络 安全 协调 官 ， 这 一 职务 也 被 与 论 喻 为 “网 络 安 
全 沙皇 ”。 参 议院 向 国会 提交 了 《网 络 安 全 法 》 议 案 。2010 年 6 月 ， 美 国 国防 部 正式 成 立 了 由 战略 司令 部 领导 的 网 络 战 司令 音 

(主要 进行 数字 战争 ， 防 护 针对 美军 计算 机 网 络 的 安全 威胁 ) 。 司 令 部 于 2010 年 10 月 正式 运行 。 奥巴马 还 促使 政府 对 外 公布 了 
《国家 网 络 安全 综合 计划 》 (信息 安全 曼哈顿 计划 ) 的 概要 信息 ， 实 行政 策 透 明 ， 以 获得 民众 对 政策 的 理解 。 


《国家 网 络 安全 综合 计划 》 又 被 称 为 信息 安全 的 “曼哈顿 计划 ”， 可 见 其 重要 程度 。 该 计划 的 制订 是 基于 一 个 假设 : 如 
果 “ 电 子 珍珠 港 ” 事 件 发 生 ， 将 会 使 整个 社会 陷入 混乱 ， 从 而 严重 威胁 到 美国 的 国家 利益 ， 漏 洞 百出 的 计算 机 网 络 又 将 会 高 度 放 
大 这 种 风险 。 此 计划 是 由 乔治 :沃克 :布什 ( 习 称 小 布什 ) 政府 于 2008 年 1 月 以 双 总 统 令 的 方式 发 布 的 ， 高 度 、 强 度 和 广度 都 体现 
了 强烈 的 国家 意志 ， 在 未 来 5~ 7 年 内 ， 预 算 投入 高 达 300~400 亿 美元 ， 总 牵头 部 门 为 国土 安全 部 。 


2010 年 3 月 ， 奥 巴 马 政府 对 上 述 计划 的 部 分 内 容 进 行 了 解密 ， 使 外 界 知悉 了 此 计划 的 3 大 目标 和 12 项 提议 。3 大 目标 为 : 建 
立 应 对 当前 紧迫 威胁 的 防线 ， 以 解决 现实 问题 ; 全 面 应 对 各 类 威胁 ， 以 解决 失 泄 密 问题 和 供应 链 安全 问题 ; 强化 未 来 网 络 安全 环 
境 。12 项 提议 为 : 通过 “可 信和 互联 网 连接 ”， 将 联邦 政府 网 络 系统 作为 单一 网 络 加 以 管理 ;部署 一 个 覆盖 整个 联邦 政府 的 网 络 
入 侵 感应 系统 ; 在 所 有 联邦 机 构 中 安装 网 络 入 侵 防御 系统 ; 协调 和 引导 相关 研发 工作 ;实现 网 络 安全 行动 中 心 的 互联 互通 ， 提 高 
对 网 络 威胁 的 感知 能 力 ; 制定 并 执行 政府 网 络 反 情 报 计划 ; 增强 涉 密 网 络 安全 ; 加 强 网 络 教育 ;在 技术 、 战 略 和 计划 等 各 方面 保 
持 长 期 、 大 幅度 的 领先 地 位 ;制定 有 效 的 威慑 战略 和 计划 ; 建立 全 方位 的 全 球 供应 链 风险 管理 机 制 ; 界定 联邦 政府 在 维护 关键 网 
络 基 础 设施 安全 方面 的 作用 。 


思考 


内 


1. 我 国信 息 安全 法 律 法 规 体系 框架 是 怎样 的 ? 


2. 危 害 国家 秘密 安全 的 行为 有 哪些 ?实施 这 些 行为 需要 承担 哪些 法 律 责任 ”我 国 现行 法 律 打击 的 网 络 违法 犯罪 行为 主要 有 哪 


些 ? 


3.《 商 用 密码 管理 条 例 》 对 商用 密码 技术 和 产品 有 怎样 的 规定 ? 《计算 机 信息 系统 安全 专用 产品 检测 和 销售 许可 证 管理 办 
法 》 对 信息 系统 安全 专用 产品 有 怎样 的 规定 ? 


4. 对 于 国家 电子 政务 工程 建设 项 目 ， 国 家 政策 在 风险 评估 方面 有 怎样 的 要 求 ? 


第 11 章 ”信息 安全 标准 


阅读 提示 “信息 安全 标准 与 规范 是 构建 我 国信 息 安 全 保障 体系 的 要 素 之 一 。 本 章 主要 介绍 标准 相关 概念 、 信 息 安 全 标准 化 组 
织 、 体 系 和 部 分 国家 信息 安全 标准 ， 以 使 读者 理解 标准 化 和 标准 的 作用 ， 了 解 国内 外 信息 安全 标准 化 组 织 、 工 作 及 信息 安全 标准 
体系 ， 并 掌握 重要 信息 安全 相关 标准 ， 从 而 能 够 参照 相关 的 国家 、 行 业 、 地 方 和 国际 标准 要 求 结 合 组 织 的 业务 特点 进行 信息 安全 
建设 。 


11.1 -信息 安全 标准 基础 


目前 ,很 多 国家 已 经 将 标准 化 视 为 一 项 具有 战略 意义 的 重要 工作 。 信 息 安全 标准 化 工作 为 信息 安全 的 科学 管理 莫 定 了 基础 ， 
是 连接 信息 安全 相关 科研 、 生 产 、 应 用 三 者 之 间 的 桥梁 。 一 项 信息 安全 科研 成 果 ， 一 旦 纳入 相应 标准 ， 就 能 迅速 得 到 推广 和 应 
用 。 因 此 ， 信 息 安 全 标准 化 可 使 信息 安全 新 技术 和 新 科研 成 果 得 到 推广 应 用 ， 从 而 有 效 促进 信息 安全 的 发 展 和 信息 安全 保障 能 
的 提升 。 


标准 化 是 为 了 在 一 定 范围 内 获得 最 佳 秩序 ， 对 现实 问题 或 潜在 问题 制定 共同 重复 使 用 的 条 款 的 活动 (GB/T 20000.1 一 
2002《 标 准 化 工作 指南 第 1 部 分 : 标准 化 和 相关 活动 的 通用 词汇 》) 。 标 准 化 工作 的 任务 是 制定 标准 ， 组 织 实施 标准 以 及 对 标准 
的 实施 进行 监督 。 标 准 化 的 主要 作用 在 于 为 了 其 预期 的 目的 改进 产品 、 过 程 或 服务 的 适用 性 ， 防 止 贸 易 壁 垒 ， 并 促进 技术 合作 。 


标准 是 在 一 定 学 围 内 为 了 获得 最 佳 秩序 ， 经 协商 一 致 制定 并 由 公认 机 构 批准 ， 共 同 重复 使 用 的 一 种 规范 性 文件 。 标 准 是 标准 
化 活动 的 重要 成 果 。 


国际 标准 是 由 国际 标准 化 组 织 或 国际 标准 组 织 通 过 并 公开 发 布 的 标准 。 国 家 标准 是 由 国家 标准 机 构 通过 并 公开 发 布 的 标准 ， 
由 国务 院 标准 化 行政 主管 部 门 制定 。《 中 华人 民 共 和 国标 准 化 法 》 (中 华人 民 共 和 国 主席 令 1988 年 第 11 号 ) 规定 ， 对 需要 在 全 
国 范围 内 统一 的 技术 要 求 ， 应 当 制 定 国家 标准 。 


行业 标准 是 针对 没有 国家 标准 而 又 需要 在 全 国 某 个 行业 范围 内 统一 的 技术 要 求 而 制定 的 标准 。 根 据 《 中 华人 民 共 和 国标 准 化 
法 》 的 规定 ， 由 我 国 各 主管 部 、 委 (局 ) 批准 发 布 ， 在 该 部 门 范围 内 统一 使 用 的 标准 ， 称 为 行业 标准 。 行 业 标准 由 国务 院 有 关 行 
政 主 管 部 门 制定 ， 并 报国 务 院 标准 化 行政 主管 部 门 备案 ， 在 公布 国家 标准 之 后 ， 该 项 行业 标准 即 废止 。 目 前 ,我 国 已 经 有 六 十 余 
个 行业 发 布 了 自己 的 行业 标准 ， 如 ， 公 共 安 全 行业 标准 代号 以 “GA” 开 头 ， 由 中 华人 民 共 和 国 公安 部 批准 发 布 ; 金融 行业 标准 
代号 以 “JR” 开 头 ， 由 中 国人 民 银 行 批准 发 布 ， 由 全 国 金融 标准 化 技术 委员 会 等 标准 化 机 构 归 口 管理 。 


地 方 标准 是 针对 没有 国家 标准 和 行业 标准 而 又 需要 在 省 、 自 治 区 、 直 辖 市 范围 内 统一 的 工业 产品 的 安全 、 了 卫生 要 求 而 制定 的 
标准 。 地 方 标准 由 省 、 自 治 区 、 直 辖 市 标准 化 行政 主管 部 门 制定 ， 并 报国 务 院 标准 化 行政 主管 部 门 和 国务 院 有 关 行政 主管 部 门 备 
案 ， 在 公布 国家 标准 或 者 行业 标准 之 后 ， 该 地 方 标准 即 应 废止 。 


我 国标 准 化 领域 的 主要 法 规 文 件 有 《中 华人 民 共和 国标 准 化 法 》、《 中 华人 民 共 和 国标 准 化 法 实施 条 例 》、《 中 华人 民 共和 
国标 准 化 法 条 文 解释 》、《 国 家 标准 管理 办 法 》、《 行 业 标 准 管理 办 法 》、《 地 方 标准 管理 办 法 》、《 企 业 标 准 化 管理 办 法 》、 
《农业 标准 化 管理 办 法 》、《 能 源 标准 化 管理 办 法 》、《 信 息 分 类 编码 标准 化 管理 办 法 》、《 采 用 国际 标准 管理 办 法 》 和 《全 国 
专业 标准 化 技术 委员 会 章程 》 等 。 


11.1.1 标准 的 作用 


标准 对 企业 生存 发 展 及 国民 经 济 发 展 均 有 重要 作用 ， 主 要 体现 在 以 下 几 方 面 。 
(1) 标准 是 进行 贸易 的 基本 条 件 


贸易 双方 进行 货物 和 服务 交换 时 ， 技 术 标准 对 贸易 对 象 的 形式 、 功 能 和 其 他 技术 特性 所 作 的 一 致 性 规定 ， 为 贸易 双方 提供 了 
一 种 共同 背景 、 共 同 语言 和 共同 的 客观 依据 ， 这 是 对 外 贸易 得 以 顺利 进行 的 基本 要 求 。 技 术 标准 为 消除 贸易 壁垒 和 建立 统一 市 场 
创造 了 条 件 。 在 一 定 意义 上 说 ， 没 有 标准 就 没有 贸易 。 


(2) 标准 能 够 提高 国民 经 济 效益 


通过 标准 化 活动 ， 可 以 提高 资源 (自然 资源 、 劳 动 、 资 本 和 技术 等 ) 的 利用 效率 ， 减 少 资源 的 耗费 ， 促 进 国 家 经 济 的 持续 发 
展 。 一 些 发 达 国家 把 披 术 标准 作为 提高 整个 国家 竞争 力 的 主要 手段 ， 通 过 制定 技术 标准 ， 在 提高 本 国产 品 竞争 力 的 同时 ， 削 弱 发 
展 中 国家 产品 的 比较 优势 ， 促 进 和 扩大 本 国 技术 和 产品 的 出 口 ， 获 取 更 大 的 经 济 效益 。 技 术 标 准 推广 的 速度 、 应 用 的 范围 和 产生 
的 效益 要 远 远 高 于 技术 成 果 本 身 ， 其 带 来 的 国民 经 济 效益 的 增长 更 加 明显 和 迅速 。 


(3) 标准 能 够 提高 企业 的 经 济 效益 


企业 可 以 将 技术 标准 作为 打开 市 场 的 战略 性 手段 。 通 过 制定 和 执行 先进 的 标准 ， 抢 占 世 界 市 场 ， 并 在 较 长 时 期 内 保持 个 体 的 
寺 续 竞争 优势 ， 实 现 企业 利润 的 持续 增长 。 世 界 上 一 些 著名 的 跨国 公司 ， 往 往 都 制定 了 较 高 的 企业 技术 标准 体系 ， 以 保证 其 竞争 
目标 和 利润 的 实现 。 


(4) 标准 既 能 打破 技术 壁垒 ， 也 能 成 为 新 的 技术 壁垒 


标准 是 全 球 通用 的 技术 语言 。 标 准 在 国际 贸易 中 发 挥 着 双重 作用 。 一 方面 ， 标 准 能 打破 技术 壁垒 。 标 准 可 以 增强 世界 各 国 的 
相互 沟通 和 理解 ， 消 除 技 术 壁 垒 ， 促 进 国际 间 的 经 贸 发 展 和 科学 、 技 术 、 文 化 交流 与 合作 。 当 前 ， 世 界 已 经 被 高 度 发 达 的 信息 和 
贸易 联 成 一 体 ， 贸 易 全 球 化 、 市 场 一 体 化 的 趋势 不 可 阻挡 ， 而 真正 能 够 在 各 个 国家 和 各 个 地 区 之 间 起 到 联结 作用 的 桥梁 和 纽带 就 
是 技术 标准 。 只 有 全 球 按照 同一 标准 组 织 生产 ， 才 能 够 在 更 大 的 范围 和 更 广阔 的 领域 促进 贸易 的 达成 。 另 一 方面 ， 标 准 也 能 成 为 
新 的 技术 壁垒 。 目 前 ， 在 国际 市 场 竞争 日 益 激烈 的 情况 下 ， 世 界 贸易 组 织 (World Trade Organization，WTO) 对 关税 和 配额 
等 传统 贸易 保护 手段 作 了 限制 ， 标 准 已 成 为 发 达 国家 新 的 贸易 保护 方式 。 发 达 国家 通过 制定 标准 并 利用 标准 的 合法 性 和 隐蔽 性 ， 
作为 新 型 非 关 税 壁 爸 的 主要 手段 ， 达 到 限制 他 国产 品 出 口 、 保 护 本 国产 业 的 目的 。 这 具体 体现 在 标准 涉及 的 技术 指标 种 类 和 数量 
越 来 越 多 ， 要 求 越 来 越 苛 刻 ， 修 订 越 来 越 频繁 ， 发 展 中 国家 一 般 很 难 达 到 。 要 实现 国际 贸易 的 顺利 进行 ， 产 品 就 必须 跨越 标准 这 
道 “ 幅 ”。 发 达 国家 已 使 标准 成 为 新 的 技术 壁垒 。 谁 制定 的 标准 ， 谁 就 掌握 了 市 场 竞争 的 制高点 ， 谁 就 事实 上 制定 了 贸易 的 规 
则 。 如 果 不 参与 制定 标准 ， 那 就 只 能 被 动 地 接受 标准 ， 时 时 受制 于 别人 制定 的 标准 。 


11.1.2 ”标准 化 的 特点 和 原则 


标准 化 有 四 个 特点 。 一 是 标准 化 的 对 象 是 共同 的 、 可 重复 的 事物 。 标 准 化 是 一 项 活动 ， 是 制定 、 发 布 和 实施 标准 的 系统 过 
程 ， 标 准 是 标准 化 活动 过 程 的 核心 要 素 。 标 准 化 对 象 不 是 孤立 的 一 件 事 、 一 个 事物 ， 而 是 共同 的 、 可 重复 的 事物 。 标 准 化 的 对 象 
可 以 概括 为 “ 物 ”、“ 事 ”、“ 人 ”三 方面 ,由 于 这 些 “ 物 ”、“ 事 ”、“ 人 ”的 多 次 重复 活动 ， 产 生 了 统一 标准 的 客观 需要 和 
要 求 ， 从 而 分 别 形成 了 技术 标准 、 管 理 标准 和 工作 标准 。 二 是 标准 化 具有 动态 性 。 标 准 化 是 一 个 动态 的 概念 ， 随 着 科技 的 进步 和 
社会 的 发 展 而 不 断 变化 发 展 的 。 标 准 没有 最 终 成 果 ， 标 准 在 深度 上 的 持续 深化 和 广度 上 的 不 断 扩张 正体 现 了 标准 化 的 动态 特征 。 
三 是 标准 化 具有 相对 性 。 标 准 化 是 一 个 相对 的 概念 ， 表 现在 随 着 事物 的 发 展 ， 标 准 化 与 非 标 准 化 、 共 性 和 个 性 的 相互 不 断 转化 的 
发 展 规律 上 。 任 何 已 经 标准 化 的 事物 和 概念 ， 都 可 能 随 着 社会 的 发 展 、 环 境 的 变化 ， 突 破 已 有 的 共同 规定 ， 成 为 非 标准 化 。 


此 ， 这 种 事物 和 概念 的 标准 化 一 非 标准 化 一 再 标准 化 ， 共 性 一 个 性 一 共性 的 交 蔡 进化 ， 符 合 否定 之 否定 的 辩证 法 ， 它 推动 标准 
化 永 无 止境 地 上 发展 。 四 是 标准 化 的 效益 来 自 于 对 标准 的 使 用 。 标 准 化 的 经 济 和 社会 效益 只 有 当 标 准 在 实践 中 得 到 应 用 以 后 才能 
现 出 来 ， 因 此 在 标准 化 活动 中 ， 标 准 的 应 用 是 最 重要 、 最 具 实 践 性 的 一 个 环节 ， 没 有 标准 的 应 用 ， 标 准 化 工作 就 失去 了 根本 意 
义 。 


标准 化 工作 应 该 遵循 四 个 原则 。 第 一 是 简化 原则 ， 在 一 定 学 围 内 缩减 对 象 的 类 型 数目 ， 使 之 在 既定 时 间 内 足以 满足 一 般 需 
的 标准 化 形式 。 当 对 象 的 多 样 性 发 展 规模 超出 必要 的 范围 时 ， 消 除 多 余 的 、 可 替换 的 、 低 功能 的 环节 ， 保 持 其 构成 的 精炼 、 合 
理 , 使 总 体 功能 最 佳 。 第 二 是 统一 原则 ， 把 同类 事物 两 种 以 上 的 表现 形态 归并 为 一 种 或 限定 在 一 个 范围 内 的 标准 化 形式 。 统 一 化 
的 目的 是 消除 由 于 不 必要 的 多 样 化 而 造成 的 混乱 ， 为 人 类 的 正常 活动 建立 共同 遵循 的 秩序 。 第 三 是 协调 原则 ， 任 何事 物 都 处 于 广 
泛 联系 之 中 ， 存 在 着 相关 性 ， 其 在 系统 中 作为 一 个 功能 单元 ， 既 受 约束 ， 又 影响 整个 功能 的 发 挥 ， 必 须 与 其 他 功能 单元 进行 协 
调 ， 在 连接 点 上 找到 一 致 性 ， 使 整体 功能 最 佳 。 第 四 是 优化 原则 ， 按 照 特定 的 目标 ， 在 一 定 的 限制 条 件 下 ， 对 标准 系统 的 构成 因 
素 及 其 天 系 进行 选择 、 设 计 或 调整 ， 使 之 达到 最 理想 的 效果 。 


11.1.3 ”我 国 国家 标准 的 类 型 和 代码 
我 国 的 国家 标准 分 为 强制 性 国家 标准 (标准 编号 以 GB 开头 ) 、 推 荐 性 国家 标准 标准 编号 以 GB/T 开 头 ) 和 国家 标准 化 指导 
性 技术 文件 (标准 编号 以 GB/Z 开 头 ) 三 类 。 


强制 性 国家 标准 具有 法 律 属性 ， 其 一 经 颁布 必须 贯彻 执行 ， 违 反 则 要 受到 经 济 制 裁 或 承担 相关 法 律 责 任 。 强 制 性 国家 标准 一 
般 包 括 全 国 必 须 统 一 的 基础 标准 ， 通 用 试验 检验 方法 标准 ， 对 国计民生 有 重大 影响 的 产品 标准 和 工程 建设 标准 ， 以 及 有 关 人 身 健 
康 与 生命 安全 和 环境 保护 方面 的 标准 等 。 


推荐 性 国家 标准 属于 自愿 采用 的 标准 ,但 其 一 经 法 律 或 法 规 引 用 ， 或 各 方 商定 同意 纳入 商品 、 经 济 合 同 之 中 ， 就 成 为 共同 遵 
守 的 技术 依据 ， 具 有 法 律 上 的 约束 性 ， 必 须 严格 贯彻 执行 。 


国家 标准 化 指导 性 技术 文件 是 对 仍 处 于 技术 发 展 过程 中 (如 变化 快 的 高 新 技术 领域 ) ， 或 者 由 于 其 他 理由 ， 将 来 而 不 是 现在 
有 可 能 就 国家 标准 取得 一 致意 见 的 指导 性 技术 文件 。 制 定 国家 标准 化 指导 性 技术 文件 的 理由 及 它 与 将 来 的 国家 标准 的 关系 ， 应 在 
前 言 中 说 明 。 国 家 标准 化 指导 性 技术 文件 在 实施 后 3 年 内 必须 进行 复审 ， 复 审结 果 的 可 能 是 有 效 期 再 延长 3 年 ， 或 转 为 国家 标 
准 ， 或 撤销 。 


11.1.4 ”标准 的 编制 过 程 


按照 国家 标准 GB/T 16733 一 1997《 国 家 标准 制定 程序 的 阶段 划分 及 代码 》， 我 国 国家 标准 制定 程序 如 表 11-1 所 示 。 


表 11-1 国家 标准 制定 程序 


阶段 代码 阶段 名 称 阶段 主要 任务 
00 预 阶段 标准 制定 的 前 期 研究 ， 提 出 标准 立项 建议 
10 立项 阶段 标准 立项 
20 刀 曹 阶段 起 草 标准 征求 意见 稿 和 编制 说 明 

征求 意见 

完成 送审 稿 和 意见 汇总 处 理 表 


会 审 或 困 审 





30 E 求 意见 阶 








站 审查 阶 8 完成 报批 稿 和 审查 会 议 纪 要 
50 批准 阶 EE 管 部 门 审查 并 批准 发 布 标准 
60 出 版 阶段 提供 纸 质 或 电子 版 标准 

90 复审 阶段 对 实施 达 5 年 的 标准 进行 复审 
95 废止 阶段 对 无 存在 价值 的 标准 予以 废止 


此 标准 制定 阶段 的 划分 与 国际 标准 制定 阶段 的 划分 有 明显 的 对 应 关系 ， 依 此 阶段 划分 方法 实施 的 标准 化 工作 对 促进 国际 贸 
易 、 技 术 和 经 济 交 流 以 及 加 强 我 国标 准 制定 工作 的 管理 与 协调 都 将 起 到 积极 的 作用 。 


` 预 阶 段 ， 对 将 要 立项 的 新 项 目 进行 研究 及 必要 的 论证 ， 并 在 此 基础 上 提出 新 项 目 建议 ， 包 括 标准 草案 或 标准 大 纲 ， 如 标准 
的 范围 、 结 构 及 其 相互 关系 等 。 


:立项 阶段 ， 对 新 项 目 建议 进行 审查 、 江 总、 协调、 确定 ， 直 至 下 达 《 国 家 标准 制 、 修 订 项 目 计划 》， 时 间 周 期 不 超过 3 个 


.起草 阶段 ， 项 目 负 责 人 组 织 标准 起 草 工 作 直 至 完成 标准 草案 征求 意见 稿 。 时 间 周 期 不 超过 10 个 月 。 


. 征求 意见 阶段 ， 将 标准 草案 征求 意见 稿 按 有 关 规 定 分 发 征求 意见 。 在 回复 意见 的 日 期 截止 后 ， 标 准 起 草 工作 组 应 根据 返回 
的 意见 ， 完 成 意见 汇总 处 理 表 和 标准 草案 送审 稿 。 时 间 周 期 不 超过 5 个 月 。 若 回复 意见 要 求 对 征求 意见 稿 进行 重大 修改 ， 则 应 分 
发 第 二 征求 意见 稿 甚至 第 三 征求 意见 稿 征求 意见 。 此 时 ， 项 目 负 责 人 应 主动 向 有 关 部 门 提交 延长 或 终止 该 项 目 计划 的 申请 报告 。 





. 审查 阶段 ， 对 标准 草案 送审 稿 组 织 审查 ， 并 在 协调 一 致 的 基础 上 ， 形 成 标准 草案 报批 稿 和 审查 会 议 纪要 或 审查 结论 。 时 间 
周期 不 超过 5 个 月 。 若 标准 草案 送审 稿 没 有 被 通过 ， 则 应 分 发 第 二 标准 草案 送审 稿 ， 并 再 次 进行 审查 。 此 时 ， 项 目 负 责 人 应 主动 
向 有 关 部 门 提 交 延 长 或 终止 该 项 目 计划 的 申请 报告 。 


- 批准 阶段 ， 主 管 部 门 对 标准 草案 报批 稿 及 报批 材料 进行 程序 、 技 术 审核 。 对 不 符合 报批 要 求 的 ， 一 般 应 退回 有 关 标准 化 技 
术 委员 会 或 起 草 单位 ， 限 时 解决 问题 后 再 行 审核 。 时 间 周期 不 超过 4 个 月 。 国 家 标准 技术 审核 机 构 对 标准 草案 报批 稿 及 报批 材料 
进行 技术 审查 ， 在 此 基础 上 对 报批 稿 完成 必要 的 协调 和 完善 工作 。 时 间 周期 不 超过 3 个 月 。 若 报批 稿 中 存在 重大 技术 方面 的 问题 
或 协调 方面 的 问题 ， 一 般 应 退回 部 门 或 有 关 专 业 标 准 化 技术 委员 会 ， 限 时 解决 问题 后 再 行 报批 。 国 务 院 标准 化 行政 主管 部 门 批 
准 、 发 布 国家 标准 。 时 间 周期 不 超过 1 个 月 。 





. 出 版 阶段 ， 将 国家 标准 出 版 稿 编辑 出 版 ， 提 供 标准 出 版 物 。 时 间 周 期 不 超过 3 个 月 。 


. 复审 阶段 ， 对 实施 周期 达 5 年 的 标准 进行 复审 ， 以 确定 是 否 确认 (继续 有 效 ) 、 修 改 〈 通 过 技术 勘误 表 或 修改 单 ) 、 修 订 
(提交 一 个 新 工作 项 目 建 议 ， 列 入 工作 计划 ) 或 废止 。 


* 废止 阶段 ， 对 于 经 复审 后 确定 为 无 存在 必要 的 标准 ， 了 予以 废止 。 


11.2 ”信息 安全 标准 化 组 织 


言 息 安 全 标准 由 专门 的 信息 安全 标准 化 组 织 研 究 、 制 定 并 发 布 。 这 些 标准 化 组 织 ， 有 国际 层面 的 、 国 家 层面 的 ， 还 有 行业 层 
面 的 和 区 域 性 的 ， 分 别 负责 研制 并 发 布 相应 类 别 的 信息 安全 标准 。 


11.2.1 ”国际 信息 安全 标准 化 组 织 


国际 上 的 信息 安全 标准 化 工作 ， 兴 起 于 二 十 世纪 70 年 代 中 期 ，80 年 代 有 了 较 快 的 发 展 ，90 年 代 引 起 了 世界 各 国 的 普遍 关 
注 。 目 前 世界 上 约 有 近 300 个 国际 和 区 域 性 组 织 ， 制 定 标准 或 技术 规则 ， 与 信息 安全 标准 化 有 关 的 主要 组 织 有 : 国际 标准 化 组 


织 、 国 际 电 工 委员 会 、 国 际 电 信 联 盟 (International Telecommunications Union，ITU) 和 Internet 工 程 任务 组 等 。 
(1) 国际 标准 化 组 织 


国际 标准 化 组 织 成 立 于 1947 年 2 月 23 日 。 它 是 其 成 员 资格 向 每 个 国家 的 有 关 国家 机 构 开放 的 标准 化 组 织 ， 该 组 织 负责 除 电 
工 、 电 子 领 域 、 军 工 、 石 油 和 船舶 制造 之 外 的 很 多 重要 领域 的 标准 化 活动 ， 国 际 标准 化 组 织 的 最 高 权力 机 构 是 每 年 一 次 的 “全 体 
大 会 ”， 其 日 常 办 事 机 构 是 中 央 秘 书 处 ， 设 在 瑞士 日 内 瓦 。 中 央 秘 书 处 现 有 130 余 名 全 职 人 员 ， 由 秘书 长 领导 。1SO 的 宗旨 
是 “在 世界 上 促进 标准 化 及 其 相关 活动 的 发 展 ， 以 便于 商品 和 服务 的 国际 交换 ， 在 智力 、 科 学 、 技 术 和 经 济 领 域 开 展 合 作 ”。 截 
至 2013 年 底 ，1SO 通 过 它 的 3483 个 技术 机 构 开展 技术 活动 ， 机 构 包 括 技术 委员 会 (Technology Committee，TC) ， 分 技术 委 
员 会 (Sub Committee，SC) ， 工 作 组 (Working Group，WG) 和 特别 工作 组 。 


中 国 于 1978 年 加 入 ISO， 在 2008 年 10 月 的 第 31 届 国际 标准 化 组 织 大 会 上 ， 中 国正 式 成 为 SO 的 常任 理事 国 。 
(2) 国际 电工 委员 会 


正式 成 立 于 1906 年 10 月 ， 是 世界 上 成 立 最 早 的 专门 国际 标准 化 机 构 。 在 信息 安全 标准 化 方面 ， 主 要 与 |SO 
成 立 了 联合 技术 委 (Joint Technical Committee 1， 几 C1) 下 设 分 委员 会 外 ， 还 在 电信 、 电 子 系统 、 信 息 技 术 和 电磁 兼容 
等 方面 成 立 技 术 委员 会 ， 如 可 靠 性 技术 委员 会 、 上 设备 安全 和 功效 技术 委员 会 、 电 磁 兼 容 技术 委员 会 、 音 频 / 视 频 技 术 委 员 会 和 
国际 无 线 电 干扰 特别 委员 会 (lnternational Special Committee on Radio Interference，CISPR) 等 ， 并 制定 相关 国际 标准 ， 
如 信息 技术 设备 安全 (IEC 60950) 等 。 


国际 电工 委员 会 
委员 


交 路 


(3) ISO/IEC JTC1 SC27 


ISO/IEC JTC1 SC27 是 国际 标准 化 组 织 和 国际 电工 委员 会 的 联合 技术 委员 会 下 专门 从 事 信息 安全 标准 化 的 分 技术 委员 会 ， 上 大 
前 身 是 数据 加 密 分 技术 委员 会 (SC20) ， 主 要 从 事 信息 技术 安全 的 一 般 方 法 和 技术 的 标准 化 工作 ， 是 信息 安全 领域 中 最 具 代表 
性 的 国际 标准 化 组 织 。SC27 下 设 信息 安全 管理 体系 工作 组 (WG1) 、 密 码 与 安全 机 制 工作 组 (WG2) 、 安 全 评估 准则 工作 组 
(WG3) 、 安 全 控制 与 服务 工作 组 (WG4) 和 身份 管理 与 隐私 技术 工作 组 (WG5) 5 个 工作 组 ， 工 作 范 围 涵盖 了 信息 安全 管理 
和 技术 领域 ， 包 括 信 息 安全 管理 体系 、 密 码 学 与 安全 机 制 、 安 全 评价 准则 、 安 全 控制 与 服务 、 身 份 管理 与 隐私 保护 技术 等 方面 的 
标准 化 工作 。 


(4) 厂 C1 其 他 分 技术 委员 会 


ISO/IEC JTC1 负 责 制 定 的 标准 主要 是 开放 系统 互 连 、 密 钥 管 理 、 数 字 签名 、 安 全 评估 等 方面 的 内 容 ， 下 设 很 多 分 委员 会 。 
系统 间 通 信和 与 信息 交换 分 委员 会 (SC6) ， 主 要 开发 开放 系统 互 连 下 四 层 安 全 模型 和 安全 协议 ,如 ISO 9160、1SO/IEC 11557 


等 。 识 别 卡 和 有 关 设 备 分 委员 会 (SC17) ， 主 要 开发 与 识别 卡 有 关 的 安全 标准 。 文 件 处 理 及 有 关 通 信 分 委员 会 (SC18) ， 主 要 
开发 电子 邮件 、 消 息 处 理 系统 等 安全 标准 。 开 放 系 统 互 连 、 数 据 管理 和 开放 式 分 布 处 理 分 委员 会 (SC21) ， 主 要 开发 开放 系统 
互 连 安全 体系 结构 ， 各 种 安全 框架 ， 高 层 安全 模型 等 标准 ， 如 ISO/IEC 7498-2、ISOV/IEC 9594-1 至 8。 程 序 语言 分 委员 会 
(SC22) ， 开 发 程序 语言 及 其 环境 及 系统 软件 接口 ， 也 开发 相应 的 安全 标准 。 开 放 式 电子 数据 交换 分 委员 会 (SC30) ， 主 要 开 
发 电子 数据 交换 的 有 关 安全 标准 ， 如 1SO 9735-9、1SO 9735-10 等 。 


(5) ISO/TC 68 


ISO/TC 68 是 国际 标准 化 组 织 的 金融 服务 技术 委员 会 ， 负 责 银 行 等 金融 业务 应 用 范围 内 有 关 信 息 安 全 标准 的 制定 ， 它 主要 制 
定 行业 应 用 标准 ， 在 组 织 上 和 标准 之 间 与 SC27 有 着 密切 的 联系 ， 目 前 已 颁布 了 多 个 安全 相关 标准 。 


(6) 国际 电信 联盟 


国际 电信 联盟 ,简称 “国际 电 联 ”， 成 立 于 1865 年 5 月 17 日 ， 是 联合 国 的 一 个 专门 机 构 ， 也 是 联合 国 机 构 中 历史 最 长 的 一 个 
国际 组 织 ， 总 部 设 于 瑞士 日 内 瓦 ， 截 至 2013 年 6 月 ， 其 成 员 包 括 193 个 成 员 国 和 700 多 个 部 门 成 员 及 部 门 准 成 员 。 每 年 的 5 月 17 日 
是 世界 电信 日 (World Telecommunication Day，WTD) 。 


(7) 国际 电信 联盟 远程 通信 标准 化 组 织 


国际 电信 联盟 远程 通信 标准 化 组 织 (ITU Telecommunication Standardization Sector，ITU-T) 是 国际 电信 联盟 管理 下 
的 专门 制定 远程 通信 相关 国际 标准 的 组 织 ， 其 前 身 是 国际 电报 电话 咨询 委员 会 (International Consultative Committee on 
Telecommunications and Telegraph，5CCITT) ， 从 1993 年 3 月 1 日 起 ，CCITT 改 组 为 ITU-T。 


由 ITU-T 指 定 的 国际 标准 通常 被 称 为 建议 。 由 于 ITU-T 是 ITU 的 一 部 分 ， 而 ITU 是 联合 国 下属 的 组 织 ， 所 以 由 该 组 织 提出 的 国 
际 标准 比 起 其 他 组 织 提 出 的 类 似 的 技术 规范 更 正式 一 些 。ITU-T 的 各 种 建议 的 分 类 由 一 个 首 字母 来 代表 ， 称 为 系列 ,例如 : 目录 
系统 (X.400 系 列 、X.500 系 列 ) ， 每 个 系列 的 建议 除了 分 类 字母 以 外 还 有 一 个 编号 ， 比 如 “V.90”。 


ITU-T 所 属 的 SG17 组 ， 主 要 负责 研究 通信 系统 安全 标准 ， 包 括 通信 安全 项 目 、 安 全 架构 和 框架 、 计 算 安全 、 安 全 管理 、 用 
于 安全 的 生物 测定 、 安 全 通信 服务 等 方面 。 此 外 SG16 和 下 一 代 网 络 核心 组 也 在 通信 安全 、H323 网 络 安全 、 下 一 代 网 络 安全 等 标 
准 方面 进行 了 研究 。 目 前 ITU-T 建 议 书 中 大 约 有 40 多 个 都 是 与 通信 安全 有 关 的 标准 。 


11.2.2 ”国外 信息 安全 标准 化 组 织 


除了 国际 信息 安全 标准 化 组 织 ， 还 有 国外 国家 层面 和 区 域 性 的 信息 安全 标准 化 组 织 。 
(1) 美国 国家 标准 协会 


美国 国家 标准 协会 (American National Standards Institute，ANSI) 于 20 世 纪 80 年 代 初 开始 数据 加 密 标 准 化 工作 。 
ANSI 的 技术 委员 会 美国 国家 信息 科技 标准 委员 会 (NationalCommittee for Information Technology Standards，NCITS，， 
简称 X3) 负责 信息 技术 ， 承 担 着 JTC1 秘 书 处 的 工作 ， 其 中 ， 分 技术 委员 会 T4 专 门 负责 IT 安 全 技术 标准 化 工作 ， 对 口 JTC1 的 
SC27。ANSI 由 多 个 组 织 构成 ， 如 X3 ( 即 NCITS) 负责 信息 技术 ，X9 (Accredited Standards Committee X9，ASC X9， 简 称 
X9，) 负责 制定 金融 业务 标准 ，X12 (Accredited Standards Committee X12，ASC X12， 简 称 X12) 负责 制定 商业 交易 标 
准 ， 等 等 。 这 些 组 织 制定 了 很 多 有 关 数 据 加 密 、 银 行业 务 安全 和 电子 数据 交换 (Electronic Data Interchange，EDI) 安全 等 方 
面 的 标准 。 许 多 标准 经 国际 标准 化 组 织 反复 讨论 后 成 为 国际 标准 。 


(2) 美国 国家 标准 与 技术 研究 院 


美国 国家 标准 与 技术 研究 院 主 要 负责 制定 联邦 计算 机 系统 标准 和 指导 文件 ， 所 出 版 的 标准 和 规范 被 称 作 联 邦 信息 处 理 标 准 
(Federation Information Processing Standards，FIPS) ， 负 责 处 理 联邦 政府 非 保密 但 敏感 的 信息 。FlIPS 安 全 标准 也 是 美国 
军用 信息 安全 标准 的 重要 来 源 。FIPS 由 NIST 在 广泛 搜集 政府 各 部 门 及 私人 企业 意见 的 基础 上 形成 。 正 式 发 布 之 前 ，NIST 将 FIPS 
分 送 给 每 个 政府 机 构 ， 并 在 “联邦 注册 ”上 刊印 出 版 。 经 再 次 征求 意见 之 后 ，NIST 局 长 把 标准 连同 NIST 的 建议 一 起 呈送 美国 商 
业 部 ， 由 商业 部 长 签字 同意 或 反对 这 个 标准 。FIPS 安 全 标准 的 一 个 著名 实例 就 是 数据 加 密 标准 (Data Encryption 
Standard，DES) 。 从 20 世 纪 70 年 代 公 布 的 DES 开 始 ，NIST 制 定 了 一 系列 有 关 信 息 安 全 方面 的 FIPS， 以 及 信息 安全 相关 的 专题 
出 版 物 (NIST SP 800 系 列 和 NIST SP 500 系 列 ) 。 另 外 ， 美 国 军 方 涉 密 标准 由 美国 国防 部 发 布 。 


(3) Internet 工 程 任务 组 


Internet 工 程 任务 组 (Internet Engineering Task Force，IETF) 创立 于 1986 年 ， 其 主要 任务 是 负责 互联 网 相关 技术 规范 
的 研发 和 制定 ， 制 定 的 规范 以 请 求 评 论 (Request For Comments，RFC) 文件 的 形式 发 布 ， 截 至 2014 年 6 月 已 经 发 布 了 7000 
多 个 RFC 文 件 。1ETF 已 成 为 全 球 互联 网 界 最 具 权 威 的 大 型 技术 研究 组 织 。1ETF 标 准 制定 的 具体 工作 由 各 个 工作 组 承担 ， 工 作 组 按 
主题 分 为 多 个 领域 (如 路 由 、 传 给、 应 用 、 安 全 等 ) 。 著 名 的 互联 网 密 钥 交换 (Internet Key Exchange，IKE) 和 互联 网 协议 
安全 (Internet Protocol Security，IPsec) 协议 都 在 RFC 系 列 之 中 ， 还 包括 传输 安全 层 (Transport Layer Security,，TLS) 协 
议 标 准 和 其 他 的 安全 协议 标准 。 


(4) 美国 电气 和 电子 工程 师 协 会 


美国 电气 和 电子 工程 师 协会 (Institute of Electrical and Electronics Engineers，IEEE) 在 信息 安全 标准 化 方面 的 贡献 ， 
主要 是 提出 局 域 网 /广域网 (Local Area Network/Wide Area Network，LAN/WAN) 安全 方面 的 标准 和 公 钥 密码 标准 
(P1363) 。 从 1990 年 IEEE 成 立 802.11 “无 线 局 域 网 工作 组 ”以 来 ， 相 继 成 立 的 802.15“ 无 线 个 人 网 络 工作 组 ”、802.16 “无 
线 宽带 网 络 工作 组 ”和 802.20“ 移 动 宽带 无 线 接 入 工作 组 ”等 在 无 线 通信 安全 方面 也 做 了 大 量 工作 。 


下 面 以 欧洲 和 亚太 地 区 为 例 ， 简 要 介绍 区 域 性 信息 安全 标准 化 组 织 。 
(5) 欧洲 计算 机 制造 联合 会 


欧洲 计算 机 制造 联合 会 (European Computer Manufacturers Association，ECMA) 位 于 瑞士 日 内 瓦 ， 和 ISO 以 及 IEC 总 
部 相 邻 ， 主 要 任务 是 研究 信息 和 通讯 技术 方面 的 标准 并 发 布 有 关 技 术 报告 。ECMA 并 不 是 官方 机 构 ， 而 是 由 主流 厂商 组 成 的 ， 他 
们 经 常 与 其 他 国际 组 织 进行 合作 。 就 像 ECMA 的 章程 中 所 说 的 那样 ， 这 个 非 营利 组 织 的 目标 是 发 展 “ 标 ; 准 和 技术 报告 以 便 促 进 和 
标准 化 对 信息 处 理 和 电信 系统 的 使 用 过 程 ”。 其 下 辖 很 多 技术 委员 会 ， 如 通信 、 网 络 和 系统 互 连 技术 委员 会 (TC32) 曾 定 义 了 
开放 系统 应 用 层 安全 结构 ;IT 安全 技术 委员 会 (TC36) 负责 信息 技术 设备 的 安全 标准 。 


(6) 欧洲 电信 标准 协会 


欧洲 电信 标准 协会 (European Telecommunications Standards Institute，ETSI) 是 由 欧 共 体委 员 会 1988 年 批准 建立 的 
一 个 非 营利 性 的 电信 标准 化 组 织 ， 总 部 设 在 法 国 南部 的 尼斯 。ETSI 的 标准 化 领域 主要 是 电信 业 ， 并 涉及 与 其 他 组 织 合作 的 信息 及 
广播 技术 领域 。 全 球 移动 通信 系统 (Global System for Mobile Communications，GSM) 就 是 ETSI 制 定 的 。 


(7) 亚太 地 区 电信 标准 化 机 构 


亚太 地 区 电信 标准 化 机 构 (Asia-Pacific Telecommunity Standardization Program，ASTAP) 是 支持 亚洲 太平 洋 地 区 通 
信 共 同体 (Asia-Pacific Telecommunity，APT) 的 标准 化 组 织 。 该 组 织 于 1997 年 成 立 ，1998 年 2 月 在 泰国 召开 了 第 一 次 全 体会 
议 ， 通 过 了 标准 化 研究 课题 、 活 动 方法 和 机 构 组 织 ， 至 此 ， 亚 太 地 区 通信 标准 化 领域 正式 开始 活动 。 该 组 织 和 ETSI 与 TU、1SO 


和 IEC 等 标准 化 组 织 协调 合作 ， 推 动 全 世界 的 标准 化 活动 。 


11.2.3 “我国 信息 安全 标准 化 组 织 


国家 标准 机 构 是 在 国家 层面 上 承认 的 ， 有 资格 成 为 相应 的 国际 和 区 域 标准 组 织 的 国家 成 员 的 标准 机 构 。 中 国 国家 标准 化 管理 
会 是 我 国 最 高 级 别 的 国家 标准 机 构 。 


国内 的 信息 安全 标准 组 织 主 要 有 全 国信 息 安全 标准 化 技术 委员 会 (China Information Security Standardization 
Technical Committee，CISTC， 简 称 TC260) 以 及 全 国 通信 标准 化 技术 委员 会 (National Technical Committee 485 on 
Communication of Standardization Administration of China， 简 称 TC485) /中 国 通信 标准 化 协会 (China 
Communications Standards Association，CCSA) 下 辖 的 网 络 与 信息 安全 技术 工作 委员 会 。 


1. 全 国信 息 安全 标准 化 技术 委员 会 


2002 年 4 月 ， 为 加 强 信息 安全 标准 的 协调 工作 ， 国 家 标准 化 管理 委员 会 决定 成 立 全 国信 息 安全 标准 化 技术 委员 会 
(TC260) ， 由 国家 标准 化 管理 委员 会 直接 领导 ， 对 口 ISO/IEC JTC1 SC27。TC260 是 我 国信 息 安全 技术 专业 领域 内 从 事 信 息 安 
全 标准 化 工作 的 专业 性 技术 机 构 ， 负 责 组 织 开展 国内 信息 安全 有 关 的 标准 化 工作 。 按 信息 安全 技术 领域 和 研究 方向 ，TC260 设 立 
相应 的 工作 组 ， 并 采取 开放 的 方式 组 建 各 工作 组 ， 国 内 信息 安全 领域 的 产 、 学 、 研 、 用 各 相关 单位 均 可 成 为 工作 组 成 员 。 各 工作 
组 具体 负责 相关 技术 标准 制定 和 修订 项 目的 基础 性 研究 工作 。 


国家 标准 化 管理 委员 会 高 新 图 [2004]1 号 文 决定 ， 自 2004 年 1 月 起 ， 各 有 关 部 门 在 申报 信息 安全 国家 标准 计划 项 目 时 ， 必 须 
经 TC260 提 出 工作 意见 ， 协 调 一 致 后 由 TC260 组 织 申报 ， 在 国家 标准 制定 过 程 中 ， 标 准 工作 组 或 主要 起 草 单位 要 与 TC260 积 极 合 
作 ， 并 由 TC260 完 成 国家 标准 送审 、 报 批 工作 。 


TC260 设 秘书 处 负责 委员 会 的 日 常事 务工 作 ， 秘 书 处 是 委员 会 的 常设 办 事 机 构 ， 负 责 委员 会 的 日 常事 务工 作 ， 秘 书 处 设 在 中 
国电 子 技术 标准 化 研究 所 。 


TC260 下 设 多 个 工作 组 。 信 息 安全 标准 体系 与 协调 工作 组 (WG1) 负责 研究 信息 安全 标准 体系 ， 跟 踪 国际 标准 发 展 动态 ， 
研究 信息 安全 标准 需求 ， 研 究 并 提出 新 工作 项 目 及 设立 新 工作 组 的 建议 ， 并 负责 协调 各 工作 组 项 目 。 涉 密 信息 系统 安全 保密 标准 
工作 组 (WG2) 负责 研究 提出 涉 密 信息 系统 安全 保密 标准 体系 ， 制 订 和 修订 涉 密 信息 系统 安全 保密 标准 。 密 码 技 术 标 准 工 作 组 

(WG3) 负责 研究 提出 商用 密码 技术 标准 体系 ， 及 负责 研究 制订 商用 密码 算法 、 商 用 密码 模块 和 商用 密 铀 管理 等 相关 标准 。 鉴 
别 与 授权 工作 组 (WG4) 负责 研究 制订 鉴别 与 授权 标准 体系 ， 调 研 国 内 相关 标准 需求 ， 研 究 制 订 鉴 别 与 授权 标准 。 信 息 安全 评 
估 工 作 组 (WG5) 负责 调研 测评 标准 现状 与 发 展 趋势 ， 研 究 我 国 统一 测评 标准 体系 的 思路 和 框架 ， 提 出 测评 标准 体系 、 研 究 制 
订 急 需 的 测评 标准 。 通 信安 全 标准 工作 组 (WG6) 负责 调研 通信 安全 标准 现状 与 发 展 趋势 ， 研 究 提出 通信 安全 标准 体系 ， 研 究 
制订 急需 的 通信 安全 标准 。 信 息 安全 管理 工作 组 (WG7) 负责 研究 信息 安全 管理 动态 ， 调 研 国内 管理 标准 需求 ， 研 究 提 出 信息 
安全 管理 标准 体系 ， 制 订 信 息 安 全 管理 相关 标准 。 





2. 全 国 通信 标准 化 技术 委员 会 /中 国 通信 标准 化 协会 


2009 年 5 月 15 日 ， 国 家 标准 化 管理 委员 会 正式 批准 成 立 全 国 通信 标准 化 技术 委员 会 (TC 485) ， 该 委员 会 主要 负责 通信 网 
络 、 系 统 和 设备 的 性 能 要 求 ， 通 信 基 本 协议 和 相关 测试 方法 等 领域 的 国家 标准 制 修订 工作 。TC485 由 国家 标准 化 管理 委员 会 主 
管 ， 工 业 和 信息 化 部 为 业务 指导 单位 ， 中 国 通信 标准 化 协会 (CCSA) 为 秘书 处 承担 单位 。TC485 的 运作 与 CCSA 的 运作 机 制 相 
统一 ，CCSA 各 组 成 机 构 均 作为 TC485 的 组 成 机 构 ， 在 CCSA 内 开展 国家 标准 制 修订 工作 ， 需 遵循 TC 485 相 天 工作 程序 和 管理 办 


法 的 规定 。 


CCSA 成 立 于 2002 年 12 月 18 日 ， 是 国内 企 事业 单位 自愿 联合 组 织 起 来 经 业务 主管 部 门 批准 ， 国 家 社团 登记 管理 机 关 登 记 ， 
开展 通信 技术 领域 标准 化 活动 的 非 萤 利 性 法 人 社会 团体 。CCSA 下 辖 的 网 络 与 信息 安全 技术 工作 委员 会 ， 研 究 领 域 包括 面向 公众 
服务 的 互联 网 的 网 络 与 信息 安全 标准 ， 电 信和 网 与 互联 网 结合 中 的 网 络 与 信息 安全 标准 ， 特 殊 通 信和 领域 中 的 网 络 与 信息 安全 标准 。 
在 国际 标准 化 工作 方面 ， 网 络 与 信息 安全 技术 工作 委员 会 与 ITU-T SG17 对 口 。 网 络 与 信息 安全 技术 工作 委员 会 下 设 了 4 个 工作 
组 ， 分 别 是 有 线 网 络 安全 工作 组 (WG1) 、 无 线 网 络 安全 工作 组 (WG2) 、 安 全 管理 工作 组 (WG3) 、 安 全 基础 工作 组 
(WG4) 。 


11.3 “信息 安全 标准 体系 


完善 的 信息 安全 标准 体系 对 规范 信息 安全 建设 各 项 工作 ， 提 高 信息 安全 保障 能 力 具 有 重要 意义 。 信 息 安全 标准 体系 是 由 信息 
安全 领域 内 具有 内 在 联系 的 标准 组 成 的 科学 有 机 整体 ， 也 是 编制 信息 安全 标准 制订 /修订 计划 的 重要 依据 ， 能 促进 信息 安全 领域 
内 的 标准 组 成 趋向 科学 化 、 合 理化 。 信 息 安 全 标准 体系 通常 由 信息 安全 标准 化 组 织 研究 并 制定 ， 目 前 已 经 形成 了 国家 、 行 业 和 国 
际 与 各 国 多 个 信息 安全 标准 体系 。 


11.3.1 我国 信息 安全 标准 体系 
我 国信 息 安全 标准 体系 是 在 总 结 各 工作 组 对 本 领域 标准 体系 研究 成 果 的 基础 上 形成 的 ， 它 是 全 国信 息 安全 标准 化 技术 委员 会 
各 工作 组 在 跟踪 分 析 了 国际 信息 安全 标准 的 发 展 动 态 和 国内 信息 安全 标准 需求 的 基础 上 ， 提 出 的 信息 安全 标准 体系 框架 。 


我 国信 息 安全 标准 从 总 体 上 划分 为 基础 标准 、 技 术 与 机 制 标准 、 管 理 标准 、 测 评 标准 、 密 码 技术 标准 和 保密 技术 标准 六 大 
类 ， 每 类 按照 标准 所 涉及 的 主要 内 容 再 细 分 为 若干 子 类 ， 如 图 11-1 所 示 。 
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图 11-1 我 国信 息 安全 标准 体系 框架 
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其 中 ， 基 础 标准 是 为 其 他 标准 制定 提供 支撑 的 公用 标准 ， 包 括 安全 术语 、 体 系 结构 、 模 型 和 框架 标准 四 个 子 类 。 技 术 与 机 制 


标准 包括 标识 与 鉴别 、 授 权 与 访问 控制 、 实 体 管 理 和 物理 安全 标准 四 个 子 类 。 管 理 标准 包括 管理 基础 标准 、 管 理 要 求 标准 、 管 理 
支撑 技术 标准 和 工程 与 服务 管理 标准 四 个 子 类 。 测 评 标准 包括 测评 基础 标准 、 产 品 测评 标准 和 系统 测评 标准 三 个 子 类 。 密 码 技术 
标准 包括 基础 标准 、 技 术 标准 和 管理 标准 三 个 子 类 。 保 密 技术 标准 包括 技术 标准 和 管理 标准 两 个 子 类 。 


我 国信 息 安全 标准 体系 框架 中 ， 已 经 发 布 的 上 述 各 类 标准 共计 160 余 部 ， 还 有 若干 部 标准 正在 开发 当中 。 


11.3.2 “信息 安全 等 级 保护 标准 体系 


为 推动 和 规范 我 国信 息 安全 等 级 保护 工作 ， 全 国信 息 安全 标准 化 技术 委员 会 和 公安 部 信息 系统 安全 标准 化 技术 委员 会 以 及 其 
他 单位 组 织 制订 了 信息 安全 等 级 保护 工作 需要 的 一 系列 标准 ， 形 成 了 信息 安全 等 级 保护 标准 体系 ， 为 开展 等 级 保护 工作 提供 了 标 
准 保障 。 信 息 安 全 等 级 保护 标准 体系 框架 如 图 11-2 所 示 。 


《计算 机 信息 系统 安全 保护 等 级 划分 准则 》 
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《信息 系统 安全 工程 管理 要 求 》 


图 11-2 我国 信息 安全 等 级 保护 标准 体系 框架 
从 等 级 保护 建设 实施 的 流程 看 ， 目 前 ， 用 于 等 级 保护 (简称 等 保 ) 工作 的 重要 标准 有 十 项 。 


在 信息 安全 等 级 保护 建设 工作 的 前 期 准备 阶段 ， 应 首先 了 解 并 掌握 GB 17859 一 1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准 
则 》 和 GB/T 25058 一 2010《 信 息 系统 安全 等 级 保护 实施 指南 》 两 部 标准 。 前 者 是 强制 性 国家 标准 ， 是 等 保 其 他 各 项 标准 制订 的 
基础 。 后 者 为 等 保 建 设 工作 提供 了 方法 指导 ， 阐 述 了 在 系统 建设 、 运 维和 废止 等 各 个 生命 周期 阶段 中 如 何 按照 信息 安全 等 级 保护 
政策 、 标 准 要 求实 施 等 级 保护 工作 。 


在 等 保 工 作 定 级 阶段 ， 应 参照 GB/T 22240 一 2008《 信 息 系 统 安 全 等 级 保护 定 级 指南 》。 此 标准 规定 了 定 级 的 依据 、 对 象 、 
流程 、 方 法 及 等 级 变更 等 内 容 ， 同 各 行业 发 布 的 定 级 实施 细则 共同 用 于 指导 开展 信息 系统 定 级 工作 。 


在 等 保 工作 安全 建设 /整改 阶段 ， 应 参照 以 下 几 部 标准 ， 以 帮助 详尽 地 挖掘 信息 安全 需求 。 首 先是 GB/T 22239 一 2008《 信 


息 系 统 安 全 等 级 保护 基本 要 求 》， 此 标准 是 在 GB17859 一 1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》 以 及 各 技术 类 标准 、 
管理 类 标准 和 产品 类 标准 基础 上 制订 的 ， 给 出 了 各 级 信息 系统 应 当 具备 的 安全 防护 能 力 ， 并 从 技术 和 管理 两 个 方面 提出 了 相应 的 
措施 。 其 次 是 GB/T 25070 一 2010《 信 息 系统 等 级 保护 安全 设计 技术 要 求 》， 此 标准 提出 了 信息 系统 等 级 保护 安全 设计 的 技术 要 
求 ， 包 括 安全 计算 环境 、 安 全 区 域 边 界 、 安 全 通信 网 络 、 安 全 管理 中 心 等 各 方面 的 要 求 。 另 外 还 有 GB/T 20271 一 2006《 信 息 系 
统 通用 安全 技术 要 求 》， 此 标准 主要 从 信息 系统 安全 保护 等 级 划分 的 角度 ， 说 明 为 实现 GB 17859 一 1999《 计 算 机 信息 系统 安全 
保护 等 级 划分 准则 》 中 每 一 个 安全 保护 等 级 的 安全 功能 要 求 应 采取 的 安全 技术 措施 ， 以 及 各 安全 保护 等 级 的 安全 功能 在 具体 实现 
上 的 差异 。 同 时 ， 还 可 参照 管理 方面 的 两 部 标准 。GB/T 20269 一 2006《 信 息 系统 安全 管理 要 求 》 对 信息 和 信息 系统 的 安全 保护 
提出 了 分 等 级 安全 管理 的 要 求 ， 前 述 了 安全 管理 要 求 及 强度 ， 并 将 管理 要 求 落 实 到 信息 安全 等 级 保护 所 规定 的 五 个 等 级 上 。 
GB/T 20282 一 2006《 信 息 系 统 安全 工程 管理 要 求 》 规 定 了 信息 安全 工程 的 管理 要 求 ， 是 对 信息 安全 工程 中 所 涉及 的 需求 方 、 实 
施 方 与 第 三 方 工程 实施 的 指导 性 文件 。 此 标准 按照 GB17859 一 1999 划 分 的 5 个 安全 保护 等 级 ， 规 定 了 信息 安全 工程 的 不 同 要 


在 等 保 工作 测评 阶段 ， 应 参照 GB/T 28448 一 2012《 信 息 系统 安全 等 级 保护 测评 要 求 》 和 GB/T 28449 一 2012《 信 息 系 统 安 
全 等 级 保护 测评 过 程 指南 》 这 两 部 标准 指导 等 级 测评 工作 的 实施 。 前 者 前 述 了 等 级 测评 的 原则 、 测 评 内 容 、 测 评 强度 、 单 元 测 
评 、 整 体 测评 、 测 评 结论 的 产生 方法 等 内 容 ; 后 者 阐述 了 信息 系统 等 级 测评 的 过 程 ， 包 括 测评 准备 、 方 案 编 制 、 现 场 测评 、 分 析 
与 报告 编制 等 各 个 活动 的 工作 任务 、 分 析 方 法 和 工作 结果 等 。 


以 上 各 标准 ， 涵 盖 了 开展 等 级 保护 工作 的 管理 、 技 术 等 各 个 方面 所 需 的 标准 ， 构 成 了 信息 安全 等 级 保护 标准 体系 。 


在 等 级 保护 建设 工作 过 程 中 ， 还 可 以 参照 其 他 相关 标准 。 如 有 关 特 定 信息 技术 产品 、 信 息 安全 产品 、 信 息 安 全 管理 等 相关 标 
准 。 技 术 类 的 标准 有 GB/T 21052 一 2007《 信 息 系统 物理 安全 技术 要 求 》、GB/T 20270 一 2006《 网 络 基础 安全 技术 要 求 》、 
GB/T 20272 一 2006《 操 作 系统 安全 技术 要 求 》、GB/T 20273 一 2006《 数 据 库 管理 系统 安全 技术 要 求 》 等 。 还 有 其 他 一 些 标准 
也 可 以 参考 ， 如 GB/T 20984 一 2007《 信 息 安全 风险 评估 规范 》、GB/Z 24364 一 2009《 信 息 安全 风险 管理 指南 》、GB/T 
24363 一 2009《 信 息 安 全 应 急 响 应 计划 规范 》、GB/Z 20285 一 2007《 信 息 安全 事件 管理 指南 》、GB/Z 20986 一 2007《 信 息 安 
全 事件 分 类 分 级 指南 》、GB/T 20988 一 2007《 信 息 系统 灾难 恢复 规范 》 等 。 


11.3.3 ”国际 信息 安全 标准 体系 


国际 信息 安全 标准 化 组 织 按 其 5 个 工作 组 的 划分 ， 规 划 了 国际 信息 安全 标准 体系 ， 将 信息 安全 标准 分 为 信息 安全 管理 体系 标 
准 、 密 码 技术 与 安全 机 制 标准 、 安 全 评价 准则 标准 、 安 全 控制 与 服务 标准 和 身份 管理 与 隐私 保护 技术 标准 五 大 类 ， 每 个 大 类 又 分 
若干 子 类 ， 如 图 11-3 所 示 。 


国际 信息 安全 标准 体系 


信息 安全 管 密码 技术 与 安全 评价 安全 控制 与 | | 身份 管理 与 隐私 
理 体系 标准 安 4 :全 机 制 标准 | “| 准则 标准 服务 标准 保护 技术 标准 


辐 汇 标准 | | | 为 实现 保密 | | .| 安全 评价 | | | 品 现 他 全 | | >| 身份 管理 
| 2z 束 好 * 窒 日 所， 相关 标准 
竹 、 完 整 性 标准 安全 问题 






归 求 标准 | | 和 可 用 性 而 的 标准 
一 开发 的 各 种 | | ”安全 功能 

_ 指南 标准 | 。 | 安全 机 制 ee 和 和 
相关 标准 i : he 
目 关 标准 问题 的 标准 


针对 信息 


安全 违反 
和 损害 的 
标准 


图 11-3 ”国际 信息 安全 标准 体系 框架 


其 中 ， 信 息 安全 管理 体系 标准 包括 词汇 标准 、 要 求 标准 、 指 南 标准 和 相关 标准 四 个 子 类 ; 密码 技术 与 安全 机 制 标准 包括 为 实 
现 保密 性 、 完 整 性 和 可 用 性 而 开发 的 各 种 安全 机 制 标准 ; 安全 评价 准则 标准 包括 安全 评价 标准 、 安 全 功能 和 保证 规范 两 个 子 类 ; 
安全 控制 与 服务 标准 包括 针对 潜在 /显现 信息 安全 问题 的 标准 、 针 对 已 知 信息 安全 问题 的 标准 、 针 对 信息 安全 违反 和 损害 的 标准 
三 个 子 类 ; 身份 管理 与 隐私 保护 技术 标准 包括 身份 管理 相关 标准 、 生 物 识 别 相关 标准 、 隐 私 保护 相关 标准 三 个 子 类 。 


在 国际 信息 安全 标准 体系 框架 中 ， 已 经 发 布 和 正在 制定 的 上 述 各 类 标准 共计 200 余 音 


11.4 我国 信息 安全 典型 标准 介 


在 信息 安全 保障 工作 中 ， 若 能 了 解 相 关 标 准 ， 理 解 标 准 的 编制 目的 、 主 要 内 容 和 适用 范围 ， 并 遵循 这 些 标 准 ， 有 助 于 信息 安 
全 保障 工作 的 规范 性 和 信息 安全 保障 能 力 的 提升 。 我 国 最 近 几 年 对 信息 安全 标准 化 工作 非常 重视 ， 各 类 别 的 信息 安全 标准 相继 发 
布 。 下 文 介绍 了 我 国 主要 的 信息 安全 标准 。 


11.4.1 基础 标准 


GB/T 25069 一 2010《 信 息 安全 技术 ”术语 》 是 基础 标准 类 的 安全 术语 标准 子 类 中 的 一 部 重要 标准 ， 制 定 此 标准 的 目的 是 为 
了 方便 信息 安全 技术 的 国内 外 交流 。 此 标准 界定 了 信息 安全 领域 相关 术语 定义 ， 分 为 一 般 概念 术语 、 信 息 安全 技术 术语 、 信 息 安 


全 管理 术语 三 类 ， 明 确 了 各 术语 之 间 的 关系 。 本 标准 有 助 于 信息 安全 概念 的 理解 ， 其 他 信息 安全 技术 标准 的 制定 以 及 信息 安全 技 
术 的 国内 外 交流 。 


GB/T 9387.2 一 1995《 开 放 系 统 互 连 ”基本 参考 模型 ”第 2 部 分 : 安全 体系 结构 》 (等 同 采用 国际 标准 ISO 7498 一 2 : 
1989) 是 基础 标准 类 的 体系 结构 标准 子 类 中 的 一 部 重要 标准 。 为 了 实现 安全 通信 ， 此 标准 确立 了 与 安全 体系 结构 有 关 的 适用 于 
开放 系统 之 间 需 要 通信 保护 的 各 种 场合 的 一 般 要 素 ， 在 开放 系统 互 连 (Open System Interconnection，OSI) 参考 模型 的 框架 
内 建立 起 一 些 指导 原则 与 制约 条 件 ， 从 而 提供 一 个 解决 OSI 中 安全 问题 的 一 致 性 方法 。 此 标准 提供 了 安全 服务 与 有 关机 制 的 一 般 
描述 ， 这 些 服务 与 机 制 可 以 为 GB 9387 一 88《 开 放 系 统 互 连 基本 参考 模型 》 (已 经 被 GB/T 9387.1 一 1998《 开 放 系 统 互 连 基 
本 参考 模型 ”第 1 部 分 : 基本 模型 》 (等 同 采用 国际 标准 ISO/IEC 7498 一 1: 1994) 取代 ) 描述 的 参考 模型 所 使 用 ， 确 定 了 在 参 
考 模型 内 部 可 以 提供 这 些 服务 与 机 制 的 位 置 。 此 标准 扩充 了 GB 9387 一 88 的 应 用 领域 ， 包 括 了 开放 系统 之 间 的 安全 通信 ， 对 基 
本 的 安全 服务 与 机 制 以 及 它们 的 恰当 配置 按 基 本 参考 模型 作 了 逐 层 (物理 层 、 数 据 链 路 层 、 网 络 层 、 传 输 层 、 会 话 层 、 表 示 层 和 
应 用 层 ) 说 明 。 此 外 ， 还 说 明了 这 些 安全 服务 和 机 制 与 参考 模型 在 体系 结构 上 的 关系 。 产 品 研发 、 安 全 服务 等 机 构 的 相关 人 员 ， 
尤其 是 安全 架构 师 ， 可 以 参考 此 标准 ， 以 设计 出 能 够 实现 安全 通信 的 产品 、 系 统 等 技术 解决 方案 。 


更 多 基础 标准 ， 请 查阅 附录 B.1《 基 础 标准 》。 


11.4.2 技术 与 机 制 标准 


GB/T 28455 一 2012《 引 入 可 信 第 三 方 的 实体 鉴别 及 接 入 架构 规范 》 是 技术 与 机 制 标准 类 中 的 标识 与 鉴别 标准 子 类 中 的 一 部 
标准 。 此 标准 的 主要 目标 是 提出 一 套 适用 于 网 络 访问 控制 和 身份 管理 ， 并 具有 普遍 适用 性 的 实体 鉴别 与 安全 接 入 的 协议 和 结构 。 
此 标准 采用 非 对 称 密码 技术 ， 引 入 在 线 的 可 信 第 三 方 ， 构 建 鉴别 协议 ， 并 定义 网 络 安全 接 入 架构 。 此 标准 的 主要 内 容 包括 : 引入 
可 信 第 三 方 的 实体 鉴别 及 接 入 架构 的 框架 和 基本 原理 ; 采用 三 元 结构 ， 将 参加 鉴别 和 授权 的 实体 置 于 对 等 的 角色 ， 利 用 逻辑 端口 
控制 方法 完成 双方 的 鉴别 和 授权 ; 确定 了 可 应 用 于 无 线 网 络 访问 控制 、 有 线 网 络 访问 控制 以 及 IP 自 适应 移动 访问 控制 系统 等 的 访 
问 控制 方法 。 此 标准 可 被 通信 行业 的 生产 企业 、 检 测 机 构 和 科研 机 构 所 采用 。 


GB/T 28447 一 2012《 电 子 认证 服务 机 构 运 营 管 理 规范 》 是 技术 与 机 制 标 准 类 中 的 授权 与 访问 控制 标准 子 类 中 的 一 部 标准 。 
此 标准 规定 了 电子 认证 服务 机 构 在 业务 运营 、 认 证 系统 运行 、 物 理 环 境 与 设施 安全 、 组 织 与 人 员 管 理 、 文 档 、 记 录 、 介 质 管理 、 
业务 连续 性 、 审 计 与 改进 等 方面 应 遵循 的 要 求 。 提 供电 子 认 证 服务 的 机 构 可 以 使 用 此 标准 来 规范 服务 内 容 ; 使 用 电子 认证 服务 的 
机 构 也 可 以 要 求 服务 提供 商 按照 规范 要 求 提供 电子 认证 服务 。 


GB/T 21052 一 2007《 信 息 系统 物理 安全 技术 要 求 》 是 技术 与 机 制 标准 类 中 的 物理 安全 标准 子 类 中 的 一 部 标准 。 此 标准 提出 
了 三 个 方面 的 物理 安全 技术 要 求 : 一 是 信息 系统 的 配套 部 件 、 设 备 安全 技术 要 求 ; 二 是 信息 系统 所 处 物理 环境 的 安全 技术 要 求 ; 
三 是 保障 信息 系统 可 靠 运 行 的 物理 安全 技术 要 求 。 此 标准 依据 GB/T 20271 一 2006 五 个 安全 等 级 中 对 于 物理 安全 技术 的 不 同 要 
求 ， 结 合 当前 我 国 计 算 机 、 网 络 和 信息 安全 技术 发 展 的 具体 情况 ， 根 据 适 度 保护 的 原则 ， 将 物理 安全 分 为 五 个 不 同 级 别 。 不 同安 
全 等 级 的 物理 安全 平台 为 相对 应 安全 等 级 的 信息 系统 提供 应 有 的 物理 安全 保护 能 力 。 此 标准 对 GB 17859 一 1999 的 五 个 安全 等 级 
的 每 一 级 物理 安全 技术 要 求 做 了 详细 的 描述 。 此 标准 适用 于 按 GB 17859 一 1999 的 安全 保护 等 级 要 求 所 进行 的 等 级 化 的 信息 系统 
物理 安全 的 设计 和 实现 ， 对 按 GB 17859 一 1999 的 安全 保护 等 级 的 要 求 对 信息 系统 物理 安全 进行 的 测试 、 管 理 可 参照 使 用 。 


GB 4943.1 一 2011《 信 息 技术 设备 安全 第 1 部 分 : 通用 要 求 》 是 技术 与 机 制 标准 类 中 的 物理 安全 标准 子 类 中 的 一 部 标 
准 。 此 标准 为 强制 性 标准 。 此 标准 旨 在 减 小 被 安装 的 设备 在 按 制造 厂商 所 规定 的 方法 进行 安装 、 操 作 和 维修 时 的 危险 。 此 标准 规 
定 的 一 系列 要 求 是 为 了 减 小 操作 人 员 和 可 能 与 设备 接触 的 外 行人 员 遭 受 着 火 、 电 击 或 伤害 的 危险 ， 某 些 情况 也 包括 维修 人 员 。 此 
标准 适用 于 电网 电源 供电 的 或 电池 供电 的 、 额 定 电 压 不 超过 600V 的 信息 技术 设备 ， 包 括 电气 事务 设备 和 与 之 相关 的 设备 ， 也 包 


括 不 考虑 供电 方式 的 通信 终端 设备 和 通信 网 络 基础 设备 、 电 缆 分 配 系统 的 设备 ， 以 及 信息 传输 媒介 ， 诸 如 自动 柜员 机 
(Automatic Teller Machine，ATM) 等 银行 设备 、 个 人 计算 机 、 服 务 器 、 网 络 设备 等 各 类 常见 的 信息 技术 设备 。 信 息 技术 设 
备 制 造 商 的 设计 人 员 应 遵照 此 标准 的 要 求 来 设计 并 生产 安全 的 设备 ， 设 备 操作 人 员 / 使 用 人 员 和 维修 人 员 应 遵照 此 标准 的 要 求 来 
使 用 和 维修 设备 。 


更 多 技术 与 机 制 标准 ， 请 查阅 附录 B.2《 技 术 与 机 制 标准 》。 


11.4.3 ”管理 标准 


GB/T 22080 一 2008《 信 息 安全 管理 体系 ”要求 》 (等 同 采用 国际 标准 ISO/IEC 27001: 2005) 是 管理 标准 类 中 的 管理 要 素 
标准 子 类 中 的 一 部 重要 标准 。 此 标准 从 组 织 的 整体 业务 风险 的 角度 ， 为 建立 、 实 施 、 运 行 、 监 视 、 评 审 、 保 持 和 改进 信息 安全 管 
理 体系 (ISMS) 进行 了 规范 。 此 标准 适用 于 所 有 类 型 、 所 有 规模 的 组 织 。 负 责 信息 安全 管理 职责 的 人 员 、1ISMS 的 建设 和 人员， 应 
依据 此 标准 ， 建 立 符合 组 织 业务 需求 的 SMS; 咨询 人 员 可 依据 此 标准 ， 为 客户 提供 有 价值 的 咨询 服务 ， 帮 助 客户 建立 起 符合 组 
织 业务 需求 的 ISMS; 审核 人 员 应 依据 此 标准 ， 对 一 个 特定 组 织 所 建立 的 |SM SS 进行 审 核 ， 以 判断 组 织 的 1SM 是 否 满足 此 标准 的 
要 求 ， 并 决定 组 织 的 1SM S 是 否 能 够 获得 认证 。 





GB/Z 24364 一 2009《 信 息 安全 风险 管理 指南 》 是 管理 标准 类 中 的 管理 支撑 技术 标准 子 类 中 的 一 部 标准 。 此 标准 的 制定 是 大 
规范 信息 安全 风险 管理 的 内 容 和 过 程 ， 为 信息 系统 生命 周期 不 同 阶段 的 信息 安全 风险 管理 提供 指导 。 此 标准 描述 了 信息 安全 风险 
管理 所 涉及 的 背景 建立 、 风 险 评 估 、 风 险 处 理 、 批 准 监 督 、 监 控 审 查 和 沟通 咨询 过 程 ， 对 信息 安全 风险 管理 在 信息 系统 全 生命 周 
期 各 个 阶段 的 应 用 作 了 系统 前 述 。 负 有 信息 安全 管理 职责 的 人 员 、 风 险 管理 团队 成 员 应 参考 此 标准 全 面 识 别 并 管理 组 织 所 面临 的 
风险 ， 将 风险 控制 在 可 接受 的 范围 以 内 ; 信息 安全 咨询 人 员 、 信 息 安全 审核 人 员 也 应 了 解 此 标准 ， 以 便 提 供 有 价值 的 信息 安全 咨 
询 和 审核 服务 。 





GB/T 20282 一 2006《 信 息 系 统 安全 工程 管理 要 求 》 是 管理 标准 类 中 的 工程 与 服务 标准 子 类 中 的 一 部 标准 。 此 标准 是 对 信息 
系统 安全 工程 中 所 涉及 的 需求 方 、 实 施 方 与 第 三 方 工程 实施 的 指导 ， 各 方 可 以 此 为 依据 建立 安全 工程 管理 体系 。 此 标准 按照 GB 
17859 一 1999 划 分 的 五 个 安全 保护 等 级 ， 规 定 了 信息 系统 安全 工程 管理 的 不 同 要 求 。 此 标准 适用 于 信息 系统 的 需求 方 和 实施 方 
的 安全 工程 管理 ， 其 他 有 关 各 方 也 可 参照 使 用 。 


更 多 管理 标准 ， 请 查阅 附录 B.3《 管 理 标准 》。 


11.4.4 测评 标准 


GB/T18336《 信 息 技术 安全 性 评估 准则 》 (经 常 被 称 为 “CC” 标 准 ) 是 测评 标准 类 中 的 测评 基础 标准 子 类 中 的 重要 标准 。 
此 标准 使 各 个 独立 的 安全 评估 结果 具有 可 比 性 ， 它 为 安全 评估 提供 了 一 套 信息 技术 (Information Techonology，IT) 产品 和 系 
统 安 全 功能 及 其 保证 措施 的 通用 要 求 。 基 于 此 标准 的 评估 过 程 能 够 建立 信任 级 别 ， 表 明 产 品 或 系统 的 安全 功能 及 其 保证 措施 都 满 
足 哪 些 要 求 ; 基于 此 标准 的 评估 结果 可 以 帮助 客户 确定 IT 产品 或 系统 对 于 预期 应 用 是 否 足够 安全 ，IT 产 品 或 系统 的 使 用 所 带 来 的 
固有 安全 风险 是 否 可 容忍 。 此 标准 致力 于 保护 信息 免 受 未 授权 的 修改 、 泄 露 或 无 法 使 用 ， 旨 在 作为 评估 IT 产品 和 系统 安全 性 的 基 
础 准则 。 它 对 安全 IT 产品 或 系统 的 开发 和 安全 商用 产品 和 系统 的 采购 都 非常 有 益 。 


此 标准 定义 了 保护 轮廓 (Protection Profile，PP) 和 安全 目标 (Security Target，ST) 这 两 种 结构 来 表述 !T 安 全 功能 和 保 


证 要 求 。 其 中 ，PP 是 满足 特定 用 户 需 求 的 一 类 产品 或 系统 的 一 组 与 实现 无 关 的 安全 要 求 ，PP 创 建 一 些 普 遍 可 重复 使 用 的 安全 要 
求 集合 ， 可 被 目标 客户 用 于 规范 和 识别 满足 其 需求 的 产品 及 其 IT 安全 性 ; ST 阐述 安全 要 求 ， 详 细 说 明 一 个 既定 被 评估 产品 或 系统 
即 评估 对 象 (Target of Evaluation ，TOE) 的 安全 功能 。 


此 标准 分 三 个 部 分 ,分 别 是 GB/T18336.1 一 2008《 信 息 技术 安全 性 评估 准则 ”第 1 部 分 : 简介 和 一 般 模型 》 (等 同 采用 
ISO/IEC 15408 一 1: 2009) 、GB/T18336.2 一 2008《 信 息 技术 安全 性 评估 准则 ”第 2 部 分 : 安全 功能 要 求 》 (等 同 采用 
ISO/IEC 15408 一 2: 2008) 、GB/T18336.3 一 2008《 信 息 技术 安全 性 评估 准则 ”第 3 部 分 : 安全 保证 要 求 》 (等 同 采用 
ISO/IEC 15408 一 3: 2008) 。 第 一 部 分 GB/T 18336.1 一 2008 是 介绍 ， 定 义 了 IT 安全 性 评估 的 一 般 概念 和 原理 ， 并 提出 了 评估 
的 一 般 模型 。 此 部 分 也 提出 了 若干 结构 ， 这 些 结构 可 用 于 表达 IT 安全 目的 ， 选 择 和 定义 IT 安全 要 求 ， 以 及 编写 产品 和 系统 的 高 层 
规范 。 第 二 部 分 GB/T 18336.2 一 2008 规 定 了 一 系列 功能 组 件 族 和 类 ， 作 为 表达 评估 对 象 (TOE) 功能 要 求 的 标准 方法 。 第 三 部 
分 GB/T 18336.3 一 2008， 规 定 了 一 系列 保证 组 件 族 和 类 ， 作 为 表达 TOE 保 证 要 求 的 标准 方法 ， 此 部 分 也 定义 了 保护 轮廓 (PP) 
和 安全 目标 (ST) 的 评估 准则 ， 提 出 了 评估 保证 级 别 ， 这 些 级 别 定义 了 划分 TOE 保 证 等 级 的 预定 义 的 评估 尺度 ， 通 常 称 为 评估 
保证 级 (Evaluation Assurance Level, EAL) 。 


GB/T 20274《 信 息 系 统 安全 保障 评估 框架 》 是 测评 标准 类 中 的 测评 基础 标准 子 类 中 的 重要 标准 。 此 标准 是 GB/T 18336 在 信 
息 系统 评估 领域 的 扩展 和 补充 ， 它 以 GB/T 18336 为 基础 ， 吸 收 其 思想 和 结构 ， 并 同 其 他 国内 外 信息 系统 安全 领域 的 标准 和 规范 
相 结 合 ， 形 成 了 描述 和 评估 信息 系统 安全 保障 内 容 和 能 力 的 通用 框架 。 在 此 标准 中 ， 信 息 系统 作为 评估 对 象 ， 不 仅 涉 及 具体 产品 
和 产品 系统 ， 而 且 还 包含 信息 系统 运行 环境 的 管理 、 工 程 等 方面 。 


制定 此 标准 的 意义 在 于 以 下 四 个 方面 。 一 是 为 信息 系统 安全 的 设计 、 实 施 、 建 设 、 测 评 、 审 核 提供 规范 的 通用 描述 语言 ; 二 
是 有 利于 信息 系统 所 有 者 编制 其 信息 系统 的 安全 保障 要 求 ; 三 是 有 利于 信息 系统 安全 集成 商 和 安全 服务 提供 商 提 供 更 为 科学 规范 
化 的 设计 和 服务 ， 促 进 信息 安全 市 场 的 发 展 ; 四 是 有 利于 有 关 行 政 管 理 部 门 、 执 法 机 构 、 测 评 认证 机 构 对 信息 系统 进行 安全 检 
查 、 检 测 、 审 计 、 评 估 和 认证 。 此 标准 适用 于 从 事 信息 系 统 安全 保障 工作 的 所 有 相关 方 ， 包 括 设计 开发 者 、 工 程 实施 者 、 评 估 
者 、 认 证 认可 者 等 。 


此 标准 分 为 四 个 部 分 : GB/T 20274.1 一 2006《 信 息 系统 安全 保障 评估 框架 ”第 1 部 分 : 简介 和 一 般 模型 》、GB/T 20274.2 
一 2008《 信 息 系 统 安全 保障 评估 框架 ”第 2 部 分 : 技术 保障 》、GB/T 20274.3 一 2008《 信 息 系统 安全 保障 评估 框架 ”第 3 部 
分 : 管理 保障 》 和 GB/T 20274.4 一 2008《 信 息 系统 安全 保障 评估 框架 ”第 4 部 分 : 工程 保障 》。GB/T 20274.1 一 2006 定 义 了 信 
息 系统 安全 保障 评估 框架 的 一 般 概念 和 原理 ， 并 在 信息 安全 的 基础 上 提出 了 信息 系统 安全 保障 模型 。 这 部 分 也 详细 解释 了 信息 系 
统 安 全 保障 模型 的 概念 和 关系 ， 以 及 信息 系统 安全 保障 评估 的 整体 框架 和 应 用 。 在 该 部 分 的 附录 中 ， 给 出 了 信息 系统 保护 轮廓 和 
言 息 系 统 安 全 目标 的 描述 规范 。GB/T 20274.2 一 2008 建 六 了 信息 系统 安全 技术 保障 的 框架 ,确立 了 组 织 机 构 内 启动 、 实 施 、 维 
护 、 评 估 和 改进 信息 安全 技术 体系 的 指南 和 通用 原则 。 本 部 分 定义 了 信息 系统 安全 技术 体系 建设 和 评估 中 反映 组 织 机 构 信息 安全 
的 技术 体系 架构 能 力 级 ， 以 及 组 织 机 构 信息 系统 安全 的 技术 要 求 。GB/T 20274.3 一 2008 建 立 了 信息 系统 安全 管理 保障 框架 ， 确 
立 了 组 织 机 构 内 启动 、 实 施 、 维 护 、 评 估 和 改进 信息 安全 管理 的 指南 和 通用 原则 。 本 部 分 说 明了 信息 系统 安全 管理 保障 中 反映 组 
织 机 构 信息 安全 管理 保障 能 力 的 安全 管理 能 力 级 ， 以 及 提供 组 织 机 构 信息 安全 管理 保障 内 容 的 管理 保障 控制 类 要 求 。GB/T 
20274.4 一 2008 建 立 了 信息 系统 安全 工程 保障 框架 ， 确 立 了 组 织 机 构 局 动 、 实 施 、 维 护 、 评 估 和 改进 信息 安全 工程 的 指南 和 通用 
原则 。 本 部 分 描述 了 信息 系统 安全 工程 保障 工作 中 反映 组 织 机 构 信息 安全 工程 保障 能 力 的 安全 工程 能 力 级 ， 以 及 提供 组 织 机 构 信 
息 安全 工程 保障 内 容 的 安全 工程 保障 控制 类 要 求 。 





更 多 测评 标准 ， 请 查阅 附录 B.4《 测 评 标准 》。 


11.4.5 ”密码 技术 标准 


GB/T 25056 一 2010《 证 书 认证 系统 密码 及 其 相关 安全 技术 规范 》 是 一 部 较 新 的 有 关 数 字 证 书 认证 的 标准 。 此 标准 规定 了 为 
公众 服务 的 数字 证 书 认证 系统 的 设计 、 建 设 、 检 测 、 运 行 及 管理 规范 。 此 标准 为 实现 数字 证 书 认证 系统 的 互 连 互通 和 交叉 认证 提 
供 了 统一 依据 ， 指 导 第 三 方 证 书 认证 机 构 的 数字 证 书 认 证 系统 的 建设 和 检测 评估 ， 规 范 数字 证 书 认 证 系统 中 密码 及 相关 安全 技术 
的 应 用 。 


GB/T 25064 一 2010《 公 钥 基 础 设施 ”电子 签名 格式 规范 》 是 一 部 较 新 的 有 关 电 子 签名 格式 的 标准 。 此 标准 针对 基于 公 钥 密 
码 学 的 数字 签名 类 型 的 电子 签名 ， 定 义 了 电子 签名 与 验证 的 主要 参与 方 、 电 子 签名 的 类 型 、 验 证 和 仲裁 要 求 。 此 标准 还 规范 了 电 
子 签名 的 数据 格式 ， 包 括 基本 数据 格式 、 验 证 数据 格式 、 签 名 策略 格式 等 。 此 标准 以 我 国电 子 签名 法 为 基础 ， 独 立 于 应 用 环境 ， 
适用 于 智能 卡 、GSM SIM 卡 、 电 子 签名 的 特殊 应 用 等 环境 。 根 据 此 标准 生成 的 电子 签名 同时 满足 《中 华人 民 共 和 国电 子 签 名 
法 》 第 十 三 条 规定 ， 即 认为 是 可 靠 的 电子 签名 。 此 标准 适用 于 电子 签名 产品 的 设计 和 实现 ， 相 天 产品 的 测试 、 评 佑 和 采购 。 


更 多 密码 技术 标准 ， 请 查阅 附录 B.5《 密 码 技术 标准 》。 


11.4.6 ”保密 技术 标准 


国家 保密 标准 与 国家 保密 法 规 共同 构成 我 国保 密 管理 的 重要 基础 ， 是 保密 防范 和 保密 检查 的 依据 ， 为 保护 国家 秘密 安全 发 挥 
了 重要 作用 。 国 家 保密 标准 由 国家 保密 局 发 布 ， 强 制 执行 ， 在 涉 密 信息 的 产生 、 处 理 、 传 输 、 存 储 和 载体 销毁 的 全 过 程 中 都 必须 
严格 执行 。 


思考 


内 


1. 标 准 有 哪些 类 别 ? 标准 的 作用 主要 有 哪些 ? 
2. 我 国 主要 有 哪些 信息 安全 标准 化 组 织 ” 其 组 织 架构 如 何 ” 主 要 职责 有 哪些 ? 


3. 结 合 实际 工作 ， 看 看 有 哪些 标准 可 用 于 规范 或 改进 本 单位 信息 安全 工作 。 


第 1 2 章 信息 安全 道 自 德 全 见 范 





阅读 提示 “遵守 道德 规范 是 对 信息 安全 从 业 人 员 的 基本 要 求 。 本 章 主 要 介绍 信息 安全 从 业 人 员 道 德 规范 和 信息 技术 通行 道德 
规范 ， 以 期 读者 能 够 理解 信息 安全 从 业 人 员 在 职业 道德 方面 应 遵守 的 原则 和 操守 ， 并 能 够 在 自己 的 信息 安全 职业 生涯 中 恪守 相应 
的 道德 规范 。 


12.1 _ 信息 技术 通行 道德 规 沁 


信息 安全 从 业 人 员 在 日 常 工作 和 生活 中 ， 不 但 要 遵守 信息 安全 专业 人 员 道 德 规范 ， 还 要 遵守 计算 机 使 用 道德 规范 、 互 联网 使 


12.1.1 计算 机 使 用 道德 规范 

美国 计算 机 伦理 协会 (Computer Ethics Institute，CEI) 成 立 于 1985 年 ， 发 起 组 织 包括 布 鲁 金 斯 学 会 、IBM 等 ， 是 一 家 专 
注 于 信息 技术 、 道 德 ， 以 及 公共 政策 研究 的 组 织 。 该 协会 以 圣经 旧 约 (摩西 十 诫 ) 的 形式 为 计算 机 伦理 规定 了 “十 诚 ”。 

. 不 应 该 使 用 计 工 机 危害 他 人 ; 

不 应 该 干涉 他 人 的 计算 机 工作 ; 

- 不 应 该 窥探 他 人 的 计算 机 文件 ; 

不 应 该 使 用 计算 机 进行 盗窃 活动 ; 

.不 应 该 使 用 计算 机 做 伪证 ; 

“ 不 应 该 复制 或 使 用 没有 付费 的 版 权 所 有 软件 ; 

. 不 应 该 在 未 经 授权 或 在 没有 适当 补偿 的 情况 下 使 用 他 人 的 计算 机 资源 

. 不 应 该 挪用 他 人 的 智力 成 果 ; 

. 应 该 注意 你 编写 的 程序 或 设计 的 系统 所 造成 的 社会 后 果 ; 

. 使 用 计算 机 时 应 该 总 是 考虑 到 他 人 并 尊重 他 们 。 


以 上 戒律 适用 于 使 用 计算 机 的 人 员 ， 同 样 也 适用 于 信息 安全 从 业 人 员 。 


12.1.2 互联 网 使 用 道德 规范 


中 国 互联 网 协会 成 立 于 2001 年 5 月 25 日 ， 由 国内 从 事 互联 网 行业 的 网 络 运 营 商 、 服 务 提供 商 、 设 备 制 造 商 、 系 统 集成 商 以 及 
科研 、 教 育 机 构 等 70 多 家 互联 网 从 业者 共同 发 起 成 立 ， 它 是 中 国 互 联网 行业 及 与 互联 网 相关 的 企 事业 单位 自愿 结 成 的 行业 性 全 
国 性 非 营 利 性 社会 组 织 。 该 协会 于 2006 年 4 月 19 日 发 布 《文明 上 网 自律 公约 》， 号 召 互联 网 从 业者 和 广大 网 民 从 自身 做 起 ， 在 以 
积极 态度 促进 互联 网 健康 发 展 的 同时 ， 承 担 起 应 负 的 社会 责任 ， 始 终 把 国家 和 公众 利益 放 在 首位 ， 坚 持 文明 办 网 ， 文 明 上 网 。 公 
约 全 文 如 下 : 











自觉 遵 纪 守 法 ， 倡 导 社 会 公德 ， 促 进 绿色 网 络 建设 ; 
提倡 先进 文化 ， 拔 弃 消 极 颓 废 ， 促 进 网 络 文明 健康 
提倡 自主 创新 ， 氨 弃 盗 版 各 窃 ， 促进 网 络 应 用 繁荣 ; 
提倡 互相 尊重 ， 握 弃 造 谣 诽谤 ， 促 进 网 络 和 谐 共 处 ; 
提倡 诚实 守信 ， 所 弃 弄 虚 作 假 ， 促 进 网 络 安全 可 信 ; 
提倡 社会 关爱 ， 握 弃 低俗 沉迷 ， 促 进 少年 健康 成 长 ; 





提倡 公平 竞争 ， 尔 广 我 诈 ， 促 进 网 络 百花 齐 放 ; 
提倡 人 人 受益 ， 消除 余数 字 鸿 沟 ， 促进 信 息 资源 共享 。 





此 公约 适用 于 互联 网 从 业者 (要求 互联 网 从 业者 文明 办 网 ) 、 广 大 网 民 (要 求 广大 网 民 文 明 上 网 ) ， 同 样 也 适用 于 信息 安全 
从 业 人 员 。 


12.2 ”信息 安全 从 业 人 员 道 德 规 泄 


信息 安全 从 业 人 员 具 备 相应 的 信息 安全 知识 和 技能 ， 其 若 想 主观 上 从 事 一 些 人 牟取 私利 、 侵 犯 他 人 利益 、 破 坏 系统 设施 等 违法 
犯罪 行为 ， 会 对 社会 、 国 家 安全 等 构成 巨大 威胁 。 信 息 安全 从 业 人 员 不 但 要 遵守 普通 人 员 应 遵守 的 基本 道德 规范 ， 还 应 遵守 信息 
安全 专业 人 员 特 有 的 道德 规范 。 


12.2.1 信息 安全 从 业 人 员 基 本 道德 规范 


舍 息 安全 从 业 人 员 作 为 一 名 普通 的 社会 成 员 ， 首 先 应 有 正确 的 人 生 观 、 价 值 观 、 荣 辱 观 ， 才 会 在 自己 的 岗位 上 发 挥 出 应 有 的 
作用 ， 才 会 为 组 织 、 公 众 和 国家 做 出 应 有 的 贡献 。 荣 誉 和 耻辱 ， 是 指 社会 对 人 们 行为 襄 贬 评价 以 及 人 们 对 这 种 评价 的 自我 感受 。 
以 “ 八 荣 八 耻 ” 为 核心 的 社会 主义 荣辱 观 ， 是 对 中 华 民 族 历久 弥 新 的 民族 精神 和 传统 美德 的 提炼 和 升华 ， 具 有 很 强 的 时 代 性 和 针 
对 性 。 信 息 安全 从 业 人 员 首 先 应 该 结合 社会 主义 薪 辱 观 来 理解 作为 一 名 普通 社会 成 员 应 该 遵守 的 基本 道德 规范 。 社 会 主义 荣辱 观 
的 主要 内 容 包括 : 


以 热爱 祖国 为 荣 ， 以 危害 祖国 为 ] 
以 服务 人 民 为 荣 ， 以 背离 人 民 ,为 ] 
以 党 尚 科 学 为 荣 ， 以 愚昧 无 知 为 ] 
以 辛勤 劳动 为 荣 ， 以 好 选 恶 劳 为 
以 团结 互助 为 荣 ， 以 损人 利己 为 
以 诚实 守信 为 荣 ， 以 见 利 忘 义 为 ] 
以 遵 纪 守法 为 荣 ， 以 违法 乱 纪 为 ] 
以 艰苦 奋斗 为 荣 ， 以 骄 奢 淫 选 为 ] 











12.2.2 ”CISP 职 业 道德 准则 


即使 某 些 人 员 和 具备 信息 安全 相关 知识 和 技能 ， 如 果 不 能 遵守 信息 安全 从 业 人 员 道 德 准则 ， 仍 将 无 法 成 为 一 名 合格 的 信息 安全 
从 业 人 员 ， 更 不 可 能 为 信息 安全 保障 做 出 应 有 的 贡献 。 获 得 中 国信 息 安全 测评 中 心 “ 注 册 信 息 安全 专业 人 员 ” 认 证 的 信息 安全 从 
业 人 员 ， 应 遵守 以 下 CISP 职 业 道 德 准则 。 


(1) 维护 国家 、 社 会 和 公众 的 信息 安全 


1) 自觉 维护 国家 信息 安全 ， 拒 绝 并 抵制 泄露 国家 秘密 和 破坏 国家 信息 基础 设施 的 行为 ; 


2) 自觉 维护 网 络 安全 ， 拒 绝 并 抵制 通过 网 络 系统 人 牟取 非法 利益 和 破坏 社会 和 谐 的 行为 ; 

3) 自觉 维护 公众 信息 安全 ， 拒 绝 并 抵制 通过 网 络 系统 侵犯 公众 合法 权益 和 泄露 个 人 隐私 的 行为 。 
(2) 诚实 守信 ， 遵 纪 守法 

1) 不 通过 网 络 系统 进行 造 证、 欺诈 、 诽 谤 、 和 弄虚作假 等 违反 诚信 原则 的 行为 

2) 不 利用 个 人 的 信息 安全 技术 能 力 实施 或 组 织 各 种 违法 犯罪 行为 ; 

3) 不 在 公众 网 络 传播 反动 、 暴 力 、 黄 色 、 低 俗 信息 及 非法 软件 。 

(3) 努力 工作 ， 尽 职 尽责 

1) 热爱 信息 安全 工作 岗位 ， 充 分 认识 信息 安全 专业 工作 的 责任 和 使 命 ; 

2) 为 发 现 和 消除 本 单位 或 雇主 的 信息 系统 安全 风险 做 出 应 有 的 努力 和 贡献 ; 


3) 帮助 和 指导 信息 安全 同行 提升 信息 安全 保障 知识 和 能 力 ， 为 有 需要 的 人 谨慎 负责 地 提出 应 对 信息 安全 问题 的 建议 和 帮 


(4) 发 展 自身 ， 维 护 荣 誉 
1) 通过 持续 学 习 保 持 并 提升 自身 的 信息 安全 知识 ; 
2) 利用 日 常 工作 、 学 术 交 流 等 各 种 方式 保持 和 提升 信息 安全 实践 能 
3) 以 CISP 身 份 为 薪 ， 积 极 参 与 各 种 证 后 活动 ， 避 免 任何 损害 CISP 声 誉 形象 的 行为 。 


其 中 ， 第 一 条 “维护 国家 、 社 会 和 公众 的 信息 安全 ”是 ClSP 职 业 道德 准则 的 核心 内 容 ， 它 是 CISP 应 尽 的 崇高 职责 ， 也 是 
CISP 从 事 信 息 安全 保障 工作 的 出 发 点 和 归宿 。CISP 应 时 刻 把 维护 国家 、 社 会 和 公众 的 信息 安全 放 在 首位 ， 维 护 国 家 、 社 会 和 公 
众 的 信息 安全 是 一 名 CISP 不 可 推卸 的 责任 。 第 二 条 “诚实 守信 ， 遵 纪 守 法 ”是 CISP 职 业 道 德 准则 的 底线 。 如 果 一 名 CISP 不 诚 
实 、 不 守信 ， 甚 到 利用 自己 掌握 的 信息 安全 知识 和 技能 做 出 违法 违纪 行为 ， 那 么 他 将 成 为 道德 遗 责 和 法 律 打击 的 对 象 ， 并 且 会 被 
剥夺 CISP 认 证 资格 。 第 三 条 “努力 工作 ， 尽 职 尽 责 ” 是 CISP 职 业 道德 准则 的 基本 要 求 。 信 息 安全 遵循 木 桶 原理 ， 需 要 全 方位 地 
均衡 防范 ， 稍 有 不 慎 就 会 造成 防范 琉 漏 ， 所 以 信息 安全 领域 的 从 业 人 员 需 要 具备 谨慎 的 品质 ， 不 怕 苦 、 不 怕 累 ， 襄 阅 业 业 的 职业 
精神 。 第 四 条 “发 展 自身 ， 维 护 荣誉 ”是 能 够 持续 胜任 信息 安全 相关 岗位 和 维持 CISP 资 质 的 必要 条 件 和 必然 要 求 。 学 习 是 一 件 
终身 的 事情 ， 尤 其 因为 信息 安全 领域 的 发 展 变化 异常 迅速 ， 信 息 安全 问题 层出不穷 ， 持 续 地 学 习 信 息 安全 相关 知识 和 技能 以 提高 
自身 能 力 ， 是 每 一 名 CISP 的 必修 课 。CISP 是 信息 安全 从 业 人 员 的 国家 级 专业 认证 ， 获 得 CISP 认 证 需要 经 过 技能 考试 、 专 业 工 作 
经 历 和 品格 等 方面 的 审核 ， 它 是 一 种 荣誉 ， 每 一 名 CISP 都 应 该 珍视 这 种 荣誉 ， 坚 定 地 维护 它 。 


思考 


岗 


1. 为 什么 信息 安全 从 业 人 员 应 遵守 相应 的 道德 规范 ? 


2. 对 照 本 章 内 容 ， 审 视 一 下 自己 的 行为 并 观察 一 下 身边 人 的 行为 ， 哪 些 行为 违反 了 信息 安全 从 业 人 员 应 遵守 的 道德 规范 ? 


附录 和 A” 我 国法 律 涉及 信息 安全 条 球 摘录 


以 下 是 我 国 现行 法 律 中 ， 与 信息 安全 相关 法 律 的 主要 条 款 摘录 。 


A.1 《中 华人 民 共和 国 完 法 》 


本 法 于 1982 年 12 月 4 日 由 第 五 届 全 国人 民 代 表 大 会 第 五 次 会 议 通 过 ， 
大 会 第 二 次 会 议 通过 的 《中 华人 民 共 和 国 宪 法 修正 案 》 对 本 法 进行 了 修正 。 


司 


日 公告 公布 施行 。2004 年 3 月 14 日 第 十 届 全 国人 民 代 表 


第 二 章 ”公民 的 基本 权利 和 义务 
第 四 十 条 ”公民 的 通信 自由 和 通信 秘密 受 法 律 的 保护 。 除 因 国家 安全 或 者 追查 刑事 犯罪 的 需要 ， 由 公安 机 关 或 者 检察 机 关 依 
照 法 律 规 定 的 程序 对 通信 进行 检查 外 ， 任 何 组 织 或 者 个 人 不 得 以 任何 理由 侵犯 公民 的 通信 自由 和 通信 秘密 。 


A.2 《中 华人 民 共 和 国保 守 国 家 秘密 法 》 


本 法 于 1988 年 9 月 5 日 第 七 届 全 国人 民 代 表 大 会 常务 委员 会 第 三 次 会 议 通 过 。2010 年 4 月 29 日 第 十 一 届 全 国人 民 代 表 大 会 常务 
委员 会 第 十 四 次 会 议 对 本 法 进行 了 修订 ， 自 2010 年 10 月 1 日 起 施行 。 


第 一 章 总 则 
第 一 条 ”为 了 保守 国家 秘密 ， 维 护 国家 安全 和 利益 ， 保 障 改革 开放 和 社会 主义 建设 事业 的 顺利 进行 ， 制 定 本 法 。 
第 二 条 ”国家 秘密 是 关系 国家 安全 和 利益 ， 依 照 法 定 程序 确定 ， 在 一 定时 间 内 只 限 一 定 范围 的 人 员 知悉 的 事项 。 
第 三 条 “国家 秘密 受 法 律 保护 。 

一 切 国家 机 关 、 武 装 力量 、 政 党 、 社 会 团体 、 企 业 事业 单位 和 公民 都 有 保守 国家 秘密 的 义务 。 


任何 危害 国家 秘密 安全 的 行为 ， 都 必须 受到 法 律 追 究 。 


第 四 条 ”保守 国家 秘密 的 工作 (以 下 简称 保密 工作 ) ， 实 行 积极 防 范 、 突 出 重点 、 依 法 管理 的 方针 ， 既 确保 国家 秘密 安全 ， 
又 便利 信息 资源 合理 利用 。 


法 律 、 行 政法 规 规定 公开 的 事项 ， 应 当 依法 公开 。 

第 五 条 ”国家 保密 行政 管理 部 门 主管 全 国 的 保密 工作 。 县 级 以 上 地 方 各 级 保密 行政 管理 部 门 主管 本 行政 区 域 的 保密 工作 。 
第 六 条 ”国家 机 关 和 涉及 国家 秘密 的 单位 (以 下 简称 机 关 、 单 位 ) 管理 本 机 关 和 本 单位 的 保密 工作 。 

中 央 国家 机 关 在 其 职权 范围 内 ， 管 理 或 者 指导 本 系统 的 保密 工作 。 


第 七 条 ”机 关 、 单 位 应 当 实 行 保密 工作 责任 制 ， 健 全 保密 管理 制度 ， 完 善 保密 防护 措施 ， 开 展 保密 宣传 教育 ， 加 强 保密 检 
查 。 


第 八条 ”国家 对 在 保守 、 保 护 国家 秘密 以 及 改进 保密 技术 、 措 施 等 方面 成 绩 显著 的 单位 或 者 个 人 给 予 奖 励 。 


第 二 章 ”国家 秘密 的 范围 和 密级 


第 九条 ”下列 涉及 国家 安全 和 利益 的 事项 ， 泄 露 后 可 能 损害 国家 在 政治 、 经 济 、 国 防 、 外 交 等 领域 的 安全 和 利益 的 ， 应 当 确 


(一 ) 国家 事务 重大 决策 中 的 秘密 事项 ; 

(二 ) 国防 建设 和 武装 力量 活动 中 的 秘密 事项 ; 

(三 ) 外 交 和 外 事 活动 中 的 秘密 事项 以 及 对 外 承担 保密 义务 的 秘密 事项 ; 
(四 ) 国民 经 济 和 社会 发 展 中 的 秘密 事项 ， 

(五 ) 科学 技术 中 的 秘密 事项 ; 

(六 ) 维护 国家 安全 活动 和 追查 刑事 犯罪 中 的 秘密 事项 ; 

(七 ) 经 国家 保密 行政 管理 部 门 确定 的 其 他 秘密 事项 。 

政党 的 秘密 事项 中 符合 前 款 规定 的 ， 属 于 国家 秘密 。 

第 十 条 ”国家 秘密 的 密级 分 为 绝密 、 机 密 、 秘 密 三 级 。 


绝密 级 国家 秘密 是 最 重要 的 国家 秘密 ， 港 露 会 使 国家 安全 和 利益 遭受 特别 严重 的 损害 ;机 密 
家 秘密 ， 港 露 会 使 国家 安全 和 利益 遭受 损害 。 


泄露 会 使 国家 安全 和 利益 遭受 严重 的 损害 ; 秘密 级 国家 秘密 是 一 般 的 国 


第 十 一 条 ”国家 秘密 及 其 密级 的 具体 范围 ， 由 国家 保密 行政 管理 部 门 分 别 会 同 外 交 、 公 安 、 国 家 安全 和 其 他 中 央 有 关机 关 规 


冲 


军事 方面 的 国家 秘密 及 其 密级 的 具体 范围 ， 由 中 央 军 事 委员 会 规定 。 

国家 秘密 及 其 密级 的 具体 范围 的 规定 ， 应 当 在 有 关 范 围 内 公布 ， 并 根据 情况 变化 及 时 调整 。 

第 十 二 条 ”机 关 、 单 位 负责 人 及 其 指定 的 人 员 为 定 密 责 任 人 ， 负 责 本 机 关 、 本 单位 的 国家 秘密 确定 、 变 更 和 解除 工作 。 
机 关 、 单 位 确定 、 变 更 和 解除 本 机 关 、 本 单位 的 国家 秘密 ， 应 当 由 承办 人 提出 具体 意见 ， 经 定 密 责任 人 审核 批准 。 

第 十 三 条 ”确定 国家 秘密 的 密级 ， 应 当 遵 守 定 密 权限 。 


中 央 国家 机 关 、 省 级 机 关 及 其 授权 的 机 关 、 单 位 可 以 确定 绝密 级 、 机 密级 和 秘密 级 国家 秘密 ; 设 区 的 市 、 自 治 州 一 级 的 机 关 
及 其 授权 的 机 关 、 单 位 可 以 确定 机 密级 和 秘密 级 国家 秘密 。 具 体 的 定 密 权 限 、 授 权 范 围 由 国家 保密 行政 管理 部 门 规定 。 


机 关 、 单 位 执行 上 级 确定 的 国家 秘密 事项 ， 需 要 定 密 的 ， 根 据 所 执行 的 国家 秘密 事项 的 密级 确定 。 下 级 机 关 、 单 位 认为 本 机 
关 、 本 单位 产生 的 有 关 定 密 事项 属于 上 级 机 关 、 单 位 的 定 密 权限 ， 应 当先 行 采取 保密 措施 ， 并 立即 报请 上 级 机 关 、 单 位 确定 ; 没 
有 上 级 机 关 、 单 位 的 ， 应 当 立 即 提请 有 相应 定 密 权 限 的 业务 主管 部 门 或 者 保密 行政 管理 部 门 确定 。 


公安 、 国 家 安全 机 天 在 其 工作 范围 内 按照 规定 的 权限 确定 国家 秘密 的 密级 。 


第 十 四 条 “机关 、 单 位 对 所 产生 的 国家 秘密 事项 ， 应 当 按照 国家 秘密 及 其 密级 的 具体 范围 的 规定 确定 密级 ， 同 时 确定 保密 期 
限 和 知悉 范围 。 


第 十 五 条 ”国家 秘密 的 保密 期 限 ， 应 当 根 据 事项 的 性 质 和 特点 ， 按 照 维 护 国家 安全 和 利益 的 需要 ， 限 定 在 必要 的 期 限 内 ; 不 
能 确定 期 限 的 ， 应 当 确定 解密 的 条 件 。 


国家 秘密 的 保密 期 限 ， 除 另 有 规定 外 ， 绝 密级 不 超过 三 十 年 ， 机 密级 不 超过 二 十 年 ， 秘 密级 不 超过 十 年 。 
机 关 、 单 位 应 当 根据 工作 需要 ， 确 定 具 体 的 保密 期 限 、 解 密 时 间或 者 解密 条 件 。 
机 关 、 单 位 对 在 决定 和 处 理 有 关 事 项 工作 过 程 中 确定 需要 保密 的 事项 ， 根 据 工作 需要 决定 公开 的 ， 正 式 公 布 时 即 视 为 解密 。 


第 十 七 条 ”机关 、 单 位 对 承载 国家 秘密 的 纸 介 质 、 光 介质 、 电 磁 介 质 等 载体 (以 下 简称 国家 秘密 载体 ) 以 及 属于 国家 秘密 的 
设备 、 产 品 ， 应 当做 出 国家 秘密 标志 。 


不 属于 国家 秘密 的 ， 不 应 当做 出 国家 秘密 标志 。 
第 三 章 保密 制度 
第 二 十 一 条 ”国家 秘密 载体 的 制作 、 收 发 、 传 递 、 使 用 、 复 制 、 保 存 、 维 修 和 销毁 ， 应 当 符合 国家 保密 规定 


绝密 级 国家 秘密 载体 应 当 在 符合 国家 保密 标准 的 设施 、 设 备 中 保存 ， 并 指定 专人 管理 ; 未 经 原 定 密 机 关 、 单 位 或 者 其 上 级 机 
天 批准 ， 不 得 复制 和 摘抄 ; 收发 、 传 递 和 外 出 携带 ， 应 当 指 定 人 员 负 责 ， 并 采取 必要 的 安全 措施 。 


第 二 十 二 条 ”属于 国家 秘密 的 设备 、 产 品 的 研制 、 生 产 、 运 输 、 使 用 、 保 存 、 维 修 和 销毁 ， 应 当 符 合 国家 保密 规定 
第 二 十 三 条 存储、 处理 国家 秘密 的 计算 机 信息 系统 (以 下 简称 涉 密 信息 系统 ) 按照 涉 密 程度 实行 分 级 保护 。 


涉 密 信息 系统 应 当 按照 国家 保密 标准 配备 保密 设施 、 设 备 。 保 密 设施 、 设 备 应 当 与 涉 密 信息 系统 同步 规划 ， 同 步 建 设 ， 同 步 


涉 密 信息 系统 应 当 按照 规定 ， 经 检查 合格 后 ， 方 可 投入 使 用 。 

第 二 十 四 条 ”机关 、 单 位 应 当 加 强 对 涉 密 信息 系统 的 管理 ， 任 何 组 织 和 个 人 不 得 有 下 列 行为 : 

(一 ) 将 涉 密 计算 机 、 涉 密 存 储 设备 接 入 互联 网 及 其 他 公共 信息 网 络 ; 

(二 ) 在 未 采取 防护 措施 的 情况 下 ， 在 涉 密 信息 系统 与 互联 网 及 其 他 公共 信息 网 络 之 间 进 行 信息 交换 ; 
(三 ) 使 用 非 涉 密 计算 机 、 非 涉 密 存储 设备 存储 、 处 理 国 家 秘密 信息 

(四 ) 擅自 卸载 、 修 改 涉 密 信息 系统 的 安全 技术 程序 、 管 理 程序 ; 

(五 ) 将 未 经 安全 技术 处 理 的 退出 使 用 的 涉 密 计算 机 、 涉 密 存 储 设备 赠送 、 出 售 、 丢 弃 或 者 改作 其 他 用 途 。 
第 二 十 五 条 机关、 单位 应 当 加 强 对 国家 秘密 载体 的 管理 ， 任 何 组 织 和 个 人 不 得 有 下 列 行为 : 

(一 ) 非法 获取 、 持 有 国家 秘密 载体 ; 

(二 ) 买卖 、 转 送 或 者 私自 销毁 国家 秘密 载体 ; 

(三 ) 通过 普通 邮政 、 快 递 等 无 保密 措施 的 渠道 传递 国家 秘密 载体 ; 

(四 ) 邮寄 、 托 运 国家 秘密 载体 出 境 ; 

(五 ) 未 经 有 关 主 管 部 门 批准 ， 携 带 、 传 递 国家 秘密 载体 出 境 。 


第 二 十 六 条 ”禁止 非法 复制 、 记 录 、 存 储 国家 秘密 。 


蔡 止 在 互联 网 及 其 他 公共 信息 网 络 或 者 未 采取 保密 措施 的 有 线 和 无 线 通信 中 传递 国家 秘密 。 
禁止 在 私人 交往 和 通信 中 涉及 国家 秘密 。 


第 二 十 七 条 ”报刊 、 图 书 、 音 像 制 品 、 电 子 出 版 物 的 编辑 、 出 版 、 印 制 、 发 行 ， 广 播 节 目 、 电 视 节 目 、 电 影 的 制作 和 播放 ， 
互联 网 、 移 动 通信 网 等 公共 信息 网 络 及 其 他 传媒 的 信息 编辑 、 发 布 ， 应 当 遵守 有 关 保 密 规定 。 


第 二 十 八条 ”互联 网 及 其 他 公共 信息 网 络 运营 商 、 服 务 商 应 当 配 合 公安 机 关 、 国 家 安全 机 关 、 检 察 机 天 对 泄密 案件 进行 调 
查 ; 发 现 利用 互联 网 及 其 他 公共 信息 网 络 发 布 的 信息 涉及 泄露 国家 秘密 的 ， 应 当 立 即 停止 传输 ， 保 人 存 有 关 记录 ， 向 公安 机 关 、 
家 安全 机 关 或 者 保密 行政 管理 部 门 报告 ; 应 当 根 据 公 安 机 关 、 国 家 安全 机 关 或 者 保密 行政 管理 部 门 的 要 求 ， 删 除 涉及 泄露 国家 秘 
密 的 信息 。 


第 二 十 九条 ”机 关 、 单 位 公开 发 布 信息 以 及 对 涉及 国家 秘密 的 工程 、 货 物 、 服 务 进行 采购 时 ， 应 当 遵 守 保密 规定 。 


第 三 十 条 ”机 关 、 单 位 对 外 交往 与 合作 中 需要 提供 国家 秘密 事项 ， 或 者 任用 、 聘 用 的 境外 人 员 因 工作 需要 知悉 国家 秘密 的 ， 
应 当 报 国务 院 有 关 主 管 部 门 或 者 省 、 自 治 区 、 直 辖 市 人 民政 府 有 关 主 管 部 门 批准 ， 并 与 对 方 签订 保密 协议 。 


第 三 十 一 条 “举办 会 议 或 者 其 他 活动 涉及 国家 秘密 的 ， 主 办 单位 应 当 采 取保 密 措施 ， 并 对 参加 人 员 进行 保密 教育 ， 提 出 具体 


第 三 十 二 条 ”机关 、 单 位 应 当 将 涉及 绝密 级 或 者 较 多 机 密级 、 秘 密级 国家 秘密 的 机 构 确定 为 保密 要 害 部 门 ， 将 集中 制作 、 存 
放 、 保 管 国家 秘密 载体 的 专门 场所 确定 为 保密 要 害 部 位 ， 按 照 国 家 保密 规定 和 标准 配备 、 使 用 必要 的 技术 防护 设施 、 设 备 。 


第 三 十 三 条 ”军事 禁区 和 属于 国家 秘密 不 对 外 开放 的 其 他 场所 、 部 位 ， 应 当 采 取保 密 措施 ， 未 经 有 关 部 门 批准 ， 不 得 擅自 决 
定 对 外 开放 或 者 扩大 开放 范围 。 


第 三 十 四 条 ”从事 国家 秘密 载体 制作 、 复 制 、 维 修 、 销 毁 ， 涉 密 信息 系统 集成 ， 或 者 武器 装备 科研 生产 等 涉及 国家 秘密 业务 
的 企业 事业 单位 ， 应 当 经 过 保密 审查 ， 具 体 办 法 由 国务 院 规定 。 


机 关 、 单 位 委托 企业 事业 单位 从 事前 款 规 定 的 业务 ， 应 当 与 其 签订 保密 协议 ， 提 出 保密 要 求 ， 采 取保 密 措 施 。 


第 三 十 五 条 ”在 涉 密 岗位 工作 的 人 员 (以 下 简称 涉 密 人 员 ) ， 按 照 涉 密 程度 分 为 核心 涉 密 人 员 、 重 要 涉 密 人 员 和 一 般 涉 密 


， 实 行 分 类 管理 。 


并 


任用 、 聘 用 涉 密 人 员 应 当 按 照 有 关 规 定 进行 审查 。 
涉 密 人 员 应 当 具 有 良好 的 政治 素质 和 品行 ， 具 有 胜任 涉 密 岗位 所 要 求 的 工作 能 力 。 
涉 密 人 员 的 合法 权益 受 法 律 保 护 。 


第 三 十 六 条 涉 密 人 员 上 岗 应 当 经 过 保密 教育 培训 ， 掌 握 保密 知识 技能 ， 签 订 保 密 承 诺 书 ， 严 格 遵守 保密 规章 制度 ， 不 得 以 
任何 方式 泄露 国家 秘密 。 


第 三 十 七 条 ” 涉 密 人 员 出 境 应 当 经 有 关 部 门 批准 ， 有 关机 关 认 为 涉 密 人 员 出境 将 对 国家 安全 造成 危害 或 者 对 国家 利益 造成 重 
大 损失 的 ， 不 得 批准 出 境 。 


第 三 十 八条 ” 涉 密 人 员 离 岗 离职 实行 脱 密 期 管理 。 涉 密 人 员 在 脱 密 期 内 ， 应 当 按 照 规 定 履行 保密 义务 ， 不 得 违反 规定 就 业 ， 
不 得 以 任何 方式 泄露 国家 秘密 。 


第 三 十 九条 ”机关 、 单 位 应 当 建立 健全 涉 密 人 员 管 理 制度 ， 明 确 涉 密 人 员 的 权利 、 岗 位 责任 和 要 求 ， 对 涉 密 人 员 履 行 职责 情 


况 开 展 经 常 性 的 监督 检查 。 
第 四 十 条 ”国家 工作 人 员 或 者 其 他 公民 发 现 国家 秘密 已 经 泄露 或 者 可 能 泄露 时 ， 应 当 立 即 采 取 补 救 措施 并 及 时 报告 有 关机 
关 、 单 位 。 机 关 、 单 位 接 到 报告 后 ， 应 当 立 即 作出 处 理 ， 并 及 时 向 保密 行政 管理 部 门 报告 。 
第 四 章 ”监督 管理 
第 四 十 一 条 ”国家 保密 行政 管理 部 门 依照 法 律 、 行 政法 规 的 规定 ， 制 定 保密 规章 和 国家 保密 标准 。 
第 四 十 二 条 ”保密 行政 管理 部 门 依法 组 织 开 展 保密 宣传 教育 、 保 密 检查 、 保 密 技术 防护 和 泄密 案件 查处 工作 ， 对 机 关 、 单 位 
的 保密 工作 进行 指导 和 监督 。 
第 五 章 ”法律 责任 
第 四 十 八条 ”违反 本 法 规定 ， 有 下 列 行为 之 一 的 ， 依 法 给 予 处 分 ; 构成 犯罪 的 ， 依 法 追究 刑事 责任 : 
(一 ) 非法 获取 、 持 有 国家 秘密 载体 的 ; 


二 ) 买卖 、 转 送 或 者 私自 销毁 国家 秘密 载体 的 ; 


一 


三 ) 通过 普通 邮政 、 快 递 等 无 保密 措施 的 渠道 传递 国家 秘密 载体 的 ; 


[es 


(四 ) 邮寄 、 托 运 国家 秘密 载体 出 境 ， 或 者 未 经 有 关 主 管 部 门 批准 ， 携 带 、 传 递 国 家 秘密 载体 出 境 的 ; 
(五 ) 非法 复制 、 记 录 、 存 储 国家 秘密 的 ; 

(六 ) 在 私人 交往 和 通信 中 涉及 国家 秘密 的 ; 

(七 ) 在 互联 网 及 其 他 公共 信息 网 络 或 者 未 采取 保密 措施 的 有 线 和 无 线 通信 中 传递 国家 秘密 的 ; 

( 八 ) 将 涉 密 计算 机 、 涉 密 存 储 设备 接 入 互联 网 及 其 他 公共 信息 网 络 的 ; 

( 九 ) 在 未 采取 防护 措施 的 情况 下 ， 在 涉 密 信息 系统 与 互联 网 及 其 他 公共 信息 网 络 之 间 进 行 信息 交换 的 ; 
(十 ) 使 用 非 涉 密 计算 机 、 非 涉 密 存 储 设备 存储 、 处 理 国家 秘密 信息 的 ; 

(十 一 ) 擅自 卸载 、 修 改 涉 密 信息 系统 的 安全 技术 程序 、 管 理 程序 的 ， 


(十 二 ) 将 未 经 安全 技术 处 理 的 退出 使 用 的 涉 密 计算 机 、 涉 密 存储 设备 赠送 、 出 售 、 丢 弃 或 者 改作 其 他 用 途 的 。 


A.3 《中 华人 民 共 和 国 刑法 》 
本 法 于 1979 年 7 月 1 日 由 第 五 届 全 国人 民 代表 大 会 第 二 次 会 议 通过 ，1997 年 3 月 14 日 第 八 届 全 国人 民 代表 大 会 第 五 次 会 议 修 
订 。2011 年 2 月 25 日 发 布 的 《中 华人 民 共 和 国 刑 法 修正 案 (和 八 ) 》 对 本 法 进行 了 修订 ， 于 2011 年 5 月 1 日 起 施行 。 
第 二 编 “分 则 
第 一 章 ”危害 国家 安全 罪 
第 一 百 零 九条 【叛逃 罪 】 国 家 机 关 工作 人 员 在 履行 公务 期 间 ， 擅 离 岗位 ， 产 逃 境外 或 者 在 境外 叛逃 的 ， 处 五 年 以 下 有 期 徒 
刑 、 拘 役 、 管 制 或 者 剥夺 政治 权利 ; 情节 严重 的 ， 处 五 年 以 上 十 年 以 下 有 期 徒刑 。 


掌握 国家 秘密 的 国家 工作 人 员 叛 逃 境外 或 者 在 境外 叛逃 的 ， 依 照 前 款 的 规定 从 重 处 罚 。 


第 一 百 一 十 条 【间谍 罪 】 有 下 列 间谍 行为 之 一 ， 危 害 国家 安全 的 ， 处 十 年 以 上 有 期 徒刑 或 者 无 期 徒刑 ;情节 较 轻 的 ， 处 三 
年 以 上 十 年 以 下 有 期 徒刑 : 

(一 ) 参加 间谍 组 织 或 者 接受 间谍 组 织 及 其 代理 人 的 任务 的 ; 

(二 ) 为 敌人 指示 篆 击 目标 的 。 

第 一 百 一 十 一 条 【为 境外 窃 了 到、 刺探、 收买 、 非 法 提供 国家 秘密 、 情 报 罪 】 为 境外 的 机 构 、 组 织 、 人 员 窃 取 、 刺 探 、 收 


买 、 非 法 提供 国家 秘密 或 者 情报 的 ， 处 五 年 以 上 十 年 以 下 有 期 徒刑 ; 情节 特别 严重 的 ， 处 十 年 以 上 有 期 徒刑 或 者 无 期 徒刑 ; 情节 
较 轻 的 ， 处 五 年 以 下 有 期 徒刑 、 拘 役 、 管 制 或 者 剥夺 政治 权利 。 


第 三 章 ”破坏 社会 主义 市 场 经 济 秩序 罪 

第 七 节 ”侵犯 知识 产权 罪 

第 二 百 一 十 九条 【侵犯 商业 秘密 罪 】 有 下 列 侵犯 商业 秘密 行为 之 一 ， 给 商业 秘密 的 权利 人 造成 重大 损失 的 ， 处 三 年 以 下 有 
期 徒刑 或 者 拘役 ， 并 处 或 者 单 处 罚金 ; 造成 特别 严重 后 果 的 ， 处 三 年 以 上 七 年 以 下 有 期 徒刑 ， 并 处 罚金 : 

(一 ) 以 盗窃 、 利 诱 、 胁 迫 或 者 其 他 不 正当 手段 获取 权利 人 的 商业 秘密 的 ; 

(二 ) 披露 、 使 用 或 者 允许 他 人 使 用 以 前 项 手段 获取 的 权利 人 的 商业 秘密 的 ; 

(三 ) 违反 约定 或 者 违反 权利 人 有 关 保 守 商 业 秘密 的 要 求 ， 披 露 、 使 用 或 者 允许 他 人 使 用 其 所 掌握 的 商业 秘密 的 。 

明知 或 者 应 知 前 款 所 列 行为 ， 获 取 、 使 用 或 者 披露 他 人 的 商业 秘密 的 ， 以 侵犯 商业 秘密 论 。 


本 条 所 称 商 业 秘 密 ， 是 指 不 为 公众 所 知悉 ， 能 为 权利 人 带 来 经 济 利益 ， 具 有 实用 性 并 经 权利 人 采取 保密 措施 的 技术 信息 和 经 


莒 信息 。 

本 条 所 称 权 利 人 ， 是 指 商 业 秘密 的 所 有 人 和 经 商业 秘密 所 有 人 许可 的 商业 秘密 使 用 人 。 

第 四 章 “侵犯 公民 人 身 权利 、 民 主权 利 罪 

第 二 百 五 十 二 条 【侵犯 通信 自由 罪 】 隐 匿 、 毁 弃 或 者 非法 开 拆 他 人 信件 ， 侵 犯 公民 通信 自由 权利 ， 情 节 严 重 的 ， 处 一 年 以 
下 有 期 徒刑 或 者 拘役 。 

第 二 百 五 十 三 条 ” 【私自 开 拆 、 隐 匿 、 毁 弃 邮 件 、 电 报 罪 ;盗窃 罪 ; 出 售 、 非 法 提供 公民 个 人 信息 罪 ; 非法 获取 公民 个 人 信 
息 罪 】 邮 政工 作 人 员 私 自 开 拆 或 者 隐匿 、 毁 弃 邮件 、 电 报 的 ， 处 二 年 以 下 有 期 徒刑 或 者 拘役 。 

犯 前 款 罪 而 窃取 财物 的 ， 依 照 本 法 第 二 百 六 十 四 条 的 规定 定罪 从 重 处 罚 。 

国家 机 关 或 者 金融 、 电 信 、 交 通 、 教 育 、 医 疗 等 单位 的 工作 人 员 ， 违 反 国家 规定 ， 将 本 单位 在 履行 职责 或 者 提供 服务 过 程 中 
获得 的 公民 个 人 信息 ， 出 售 或 者 非法 提供 给 他 人 ， 情 节 严 重 的 ， 处 三 年 以 下 有 期 徒刑 或 者 拘役 ， 并 处 或 者 单 处 罚金 。 

窃取 或 者 以 其 他 方法 非法 获取 上 述 信息 ， 情 节 严 重 的 ， 依 照 前 款 的 规定 处 罚 。 

单位 犯 前 两 款 罪 的 ， 对 单位 判处 罚金 ， 并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ， 依 照 各 该 款 的 规定 处 罚 。 

第 五 章 ”侵犯 财产 罪 

第 二 百 六 十 五 条 ” 【盗窃 罪 】 以 牟利 为 目的 ， 资 接 他 人 通信 线路 、 复 制 他 人 电信 码 号 或 者 明知 是 盗 接 、 复 制 的 电信 设备 、 设 

施 而 使 用 的 ， 依 照 本 法 第 二 百 六 十 四 条 的 规定 定罪 处 罚 。 


第 六 章 ”妨碍 社会 管理 秩序 罪 
第 一 节 ”扰乱 公共 秩序 罪 
第 二 百 八 十 二 条 ”【 非 法 获取 国家 秘密 罪 ， 非 法 持 有 国家 绝密 、 机 密 文 件 、 资 料 、 物 品 罪 】 以 窃取 、 刺 探 、 收 买方 法 ， 非 法 
获取 国家 秘密 的 ， 处 三 年 以 下 有 期 徒刑 、 拘 役 、 管 制 或 者 剥夺 政治 权利 ; 情节 严重 的 ， 处 三 年 以 上 七 年 以 下 有 期 徒刑 。 
非法 持 有 属于 国家 绝密 、 机 密 的 文件 、 资 料 或 者 其 他 物品 ， 拒 不 说 明 来 源 与 用 途 的 ， 处 三 年 以 下 有 期 徒刑 、 拘 役 或 者 管制 。 
第 二 百 八 十 五 条 ” 【非法 侵入 计算 机 信息 系统 罪 ， 非 法 获取 计算 机 信息 系统 数据 、 非 法 控制 计算 机 信息 系统 罪 ;， 提 供 侵入 、 


非法 控制 计算 机 信息 系统 程序 、 工 具 罪 】 违 反 国 家 规定 ， 侵 入 国家 事务 、 国 防 建设 、 尖 端 科学 技术 领域 的 计算 机 信息 系统 的 ， 处 
三 年 以 下 有 期 徒刑 或 者 拘役 。 


违反 国家 规定 ， 侵 入 前 款 规定 以 外 的 计算 机 信息 系统 或 者 采用 其 他 技术 手段 ， 获 取 该 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 
的 数据 ， 或 者 对 该 计算 机 信息 系统 实施 非法 控制 ， 情 节 严 重 的 ， 处 三 年 以 下 有 期 徒刑 或 者 拘役 ， 并 处 或 者 单 处 罚金 ;情节 特别 严 
重 的 ， 处 三 年 以 上 七 年 以 下 有 期 徒刑 ， 并 处 罚金 。 


提供 专门 用 于 侵入 、 非 法 控制 计算 机 信息 系统 的 和 程序、 工具， 或 者 明知 他 人 实施 侵入 、 非 法 控制 计算 机 信息 系统 的 违法 犯罪 
行为 而 为 其 提供 程序 、 工 具 ， 情 节 严 重 的 ， 依 照 前 款 的 规定 处 罚 。 

第 二 百 八 十 六 条 ” 【破坏 计算 机 信息 系统 罪 】 违 反 国家 规定 ， 对 计算 机 信息 系统 功能 进行 删除 、 修 改 、 增 加 、 干 扰 ， 造 成 计 
算 机 信息 系统 不 能 正常 运行 ， 后 果 严 重 的 ， 处 五 年 以 下 有 期 徒刑 或 者 拘役 ) 后 果 特 别 严重 的 ， 处 五 年 以 上 有 期 徒刑 。 

违反 国家 规定 ， 对 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删除 、 修 改 、 增 加 的 操作 ， 后 果 严 重 的 ， 依 
照 前 款 的 规定 处 罚 。 

故意 制作 、 传 播 计算 机 病毒 等 破坏 性 程序 ， 影 响 计 算 机 系统 正常 运行 ， 后 果 严 重 的 ， 依 照 第 一 款 的 规定 处 罚 。 

第 二 百 八 十 七 条 【利用 计算 机 实施 犯罪 的 提示 性 规定 】 利 用 计算 机 实施 金融 诈骗 、 盗 穷 、 贪 污 、 挪 用 公款 、 窃 取 国 家 秘密 
或 者 其 他 犯罪 的 ， 依 照 本 法 有 关 规 定 定罪 处 罚 。 

第 九 章 ”渎职 罪 

第 三 百 九 十 八条 ” 【故意 泄露 国家 秘密 罪 ， 过 失 泄 露 国家 秘密 罪 】 国 家 机 关 工作 人 员 违反 保守 国家 秘密 法 的 规定 ， 故 意 或 者 
过 失 泄 露 国家 秘密 ， 情 节 严重 的 ， 处 三 年 以 下 有 期 徒刑 或 者 拘役 ; 情节 特别 严重 的 ， 处 三 年 以 上 七 年 以 下 有 期 徒刑 。 

非 国家 机 关 工作 人 员 犯 前 款 罪 的 ， 依 照 前 款 的 规定 酌情 处 罚 。 

第 十 章 ”军人 违反 职责 罪 


第 四 百 三 十 一 条 ”【 非 法 获取 军事 秘密 罪 ， 为 境外 窃取 、 刺 探 、 收 买 、 非 法 提供 军事 秘密 罪 】 以 窃取 、 刺 探 、 收 买方 法 ,， 非 
法 获取 军事 秘密 的 ， 处 五 年 以 下 有 期 徒刑 ;情节 严重 的 ， 处 五 年 以 上 十 年 以 下 有 期 徒刑 ;情节 特别 严重 的 ， 处 十 年 以 上 有 期 徒 
刑 。 


为 境外 的 机 构 、 组 织 、 人 员 窃取 、 刺 探 、 收 买 、 非 法 提供 军事 秘密 的 ， 处 十 年 以 上 有 期 徒刑 、 无 期 徒刑 或 者 死刑 。 


第 四 百 三 十 二 条 【故意 泄露 军事 秘密 罪 ， 过 失 泄 露 军 事 秘密 罪 】 违 反 保守 国家 秘密 法 规 ， 故 意 或 者 过 失 泄露 军事 秘密 ， 情 
节 严 重 的 ， 处 五 年 以 下 有 期 徒刑 或 者 拘役 ; 情节 特别 严重 的 ， 处 五 年 以 上 十 年 以 下 有 期 徒刑 。 


战 时 犯 前 款 罪 的 ， 处 五 年 以 上 十 年 以 下 有 期 徒刑 ; 情节 特别 严重 的 ， 处 十 年 以 上 有 期 徒刑 或 者 无 期 徒刑 。 


A4 《中 华人 民 共和 国 国家 安全 法 》 


本 法 于 1993 年 2 月 22 日 第 七 届 全 国人 民 代 表 大 会 常务 委员 会 第 三 十 次 会 议 通 过 ， 同 日 公布 施行 。 
第 二 章 ”国家 安全 机 关 在 国家 安全 工作 中 的 职权 
第 十 条 ”国家 安全 机 关 因 侦察 危害 国家 安全 行为 的 需要 ， 根 据 国 家 有 关 规 定 ， 经 过 严格 的 批准 手续 ， 可 以 采取 技术 侦察 措 


第 十 一 条 ”国家 安全 机 关 为 维护 国家 安全 的 需要 ， 可 以 查验 组 织 和 个 人 的 电子 通信 工具 、 器 材 等 设备 、 设 施 。 
第 三 章 ”公民 和 组织 维 护 国 家 安全 的 义务 和 权利 
第 十 九条 ”任何 公民 和 组 织 都 应 当 保 守 所 知悉 的 国家 安全 工作 的 国家 秘密 。 
第 二 十 条 ”任何 个 人 和 组 织 都 不 得 非法 持 有 属于 国家 秘密 的 文件 、 资 料 和 其 他 物品 。 
第 二 十 一 条 ”任何 个 人 和 组 织 都 不 得 非法 持 有 、 使 用 窃听 、 窍 照 等 专用 间谍 器 材 。 
第 四 章 “法律 责任 


第 二 十 八条 ”故意 或 者 过 失 泄露 有 关 国 家 安全 工作 的 国家 秘密 的 ， 由 国家 安全 机 关 处 十 五 日 以 下 拘留 ; 构成 犯罪 的 ， 依 法 追 
究 刑事 责任 。 


第 二 十 九条 ”对 非法 持 有 属于 国家 秘密 的 文件 、 资 料 和 其 他 物品 的 ， 以 及 非法 持 有 、 使 用 专用 间谍 器 材 的， 国家 安全 机 关 可 
以 依法 对 其 人 身 、 物 品 、 住 处 和 其 他 有 关 的 地 方 进行 搜查 ; 对 其 非法 持 有 的 属于 国家 秘密 的 文件 、 资 料 和 其 他 物品 ， 以 及 非法 持 
有 、 使 用 的 专用 间谍 器 材 予以 没收 。 


非法 持 有 属于 国家 秘密 的 文件 、 资 料 和 其 他 物品 ， 构 成 泄露 国家 秘密 罪 的 ， 依 法 追究 刑事 责任 。 


A.5 《中 华人 民 共 和 国 军事 设施 保护 法 》 


本 法 于 1990 年 2 月 23 日 第 七 届 全 国人 民 代 表 大 会 常务 委员 会 第 十 二 次 会 议 通 过 ， 自 1990 年 8 月 1 日 起 施行 ， 并 根据 2009 年 8 月 27 
日 第 十 一 届 全 国人 民 代 表 大 会 常务 委员 会 第 十 次 会 议 《 关 于 修改 部 分 法 律 的 决定 》 对 本 法 进行 了 修正 。 


第 七 章 ”法律 责 任 
第 三 十 一 条 ”有 下 列 行为 之 一 的 ， 依 照 刑法 有 关 规 定 追 究 刑 事 责任 : 
(三 ) 泄露 军事 设施 秘密 的 ， 或 者 为 境外 的 机 构 、 组 织 、 人 员 窃 取 、 刺 探 、 收 买 、 非 法 提供 军事 设施 秘密 的 。 


第 三 十 五 条 ”现役 军人 、 军 内 在 编 职 工 有 下 列 行为 之 一 的 ， 依 照 惩治 军人 违反 职责 罪 暂 行 条 例 的 有 关 规 定 追 究 刑事 责任 ; 情 
节 轻 微 ， 尚 不 够 刑事 处 罚 的 ， 给 予 军纪 处 分 : 


(三 ) 泄露 军事 设施 秘密 的 。 


A.6 《中 华人 民 共和 国 统计 法 》 


本 法 于 1983 年 12 月 8 日 第 六 届 全 国人 民 代表 大 会 常务 委员 会 第 三 次 会 议 通 过 ， 根 据 2009 年 6 月 27 日 第 十 一 届 全 国人 民 代 表 大 会 
常务 委员 会 第 九 次 会 议和 修订， 修订 后 的 本 法 自 2010 年 1 月 1 日 起 施行 。 


第 一 章 总 则 
第 九条 ”统计 机 构 和 统计 人 员 对 在 统计 工作 中 知悉 的 国家 秘密 、 商 业 秘 密 和 个 人 信息 ， 应 当 予 以 保密 。 
第 三 章 ”统计 资料 的 管理 和 公布 


第 二 十 五 条 ”统计 调查 中 获得 的 能 够 识别 或 者 推断 单个 统计 调查 对 象 身份 的 资料 ， 任 何 单位 和 个 人 不 得 对 外 提供 、 港 露 ,不 
得 用 于 统计 以 外 的 目的 。 


第 六 章 ”法律 责 任 


第 三 十 九条 ”县 级 以 上 人 民政 府 统计 机 构 或 者 有 关 部 门 有 下 列 行为 之 一 的 ， 对 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 由 任 
免 机 天 或 者 监察 机 天 依法 给 予 处 分 : 


(一 ) 违法 公布 统计 资料 的 ; 


(二 ) 泄露 统计 调查 对 象 的 商业 秘密 、 个 人 信息 或 者 提供 、 港 露 在 统计 调查 中 获得 的 能 够 识别 或 者 推断 单个 统计 调查 对 象 身 
份 的 资料 的 ; 


(三 ) 违反 国家 有 关 规 定 ， 造 成 统计 资料 毁损 、 炎 失 的 。 
统计 人 员 有 前 款 所 列 行为 之 一 的 ， 依 法 给 予 处 分 。 


第 四 十 条 ”统计 机 构 、 统 计 人 员 泄 露 国家 秘密 的 ， 依 法 追究 法 律 责任 。 


A.7 《中 华人 民 共 和 国 专利 法 》 
本 法 于 1984 年 3 月 12 日 第 六 届 全 国人 民 代 表 大 会 常务 委员 会 第 四 次 会 议 通 过 ， 自 1985 年 4 月 1 日 起 施行 ， 并 根据 2008 年 12 月 27 
日 第 十 一 届 全 国人 民 代表 大 会 常务 委员 会 第 六 次 会 议 《 关 于 修改 “中华 人民 共和 国 专利 法 的 决定 》 进 行 了 第 三 次 修正 。 
第 一 章 总 则 


第 二 十 条 ”任何 单位 或 者 个 人 将 在 中 国 完成 的 发 明 或 者 实用 新 型 向 外 国 申 请 专利 的 ， 应 当 事 先 报 经 国务 院 专 利 行政 部 门 进行 
保密 审查 。 保 密 审查 的 程序 、 期 限 等 按照 国务 院 的 规定 执行 。 


第 七 章 专利 权 的 保护 


第 七 十 一 条 ”违反 本 法 第 二 十 条 规定 向 外 国 申 请 专利 ， 港 圳 国家 秘密 的 ， 由 所 在 单位 或 者 上 级 主管 机 关 给 予 行政 处 分 ; 构成 
犯罪 的 ， 依 法 追究 刑事 责任 。 


A.8 《中 华人 民 共 和 国人 民警 察 法 》 
本 法 于 1995 年 2 月 28 第 和 八 届 全 国人 民 代表 大 会 常务 委员 会 第 十 二 次 会 议 通过 ， 同 日 公布 施行 。 
第 二 章 ”职权 
第 六 条 ”公安 机 关 的 人 民警 察 按照 职责 分 工 ， 依 法 履行 下 列 职责 : 
(十 二 ) 监督 管理 计算 机 信息 系统 的 安全 保护 工作 ; 


第 十 六 条 ”公安 机 关 因 侦查 犯罪 的 需要 ， 根 据 国家 有 关 规 定 ， 经 过 严格 的 批准 手续 ， 可 以 采取 技术 侦察 措施 。 


A.9 《中 华人 民 共 和 国治 安 管理 处 罚 法 》 


本 法 于 2005 年 8 月 28 日 由 中 华人 民 共 和 国 第 十 届 全 国人 民 代 表 大 会 常务 委员 会 第 十 七 次 会 议 通 过 ， 自 2006 年 3 月 1 日 起 施行 。 
(1986 年 9 月 5 日 公布 、1994 年 5 月 12 日 修订 公布 的 《中 华人 民 共 和 国治 安 管理 处 罚 条 例 》 同 时 废止 。) 根据 2012 年 10 月 26 日 十 一 
届 全 国人 大 常委 会 第 29 次 会 议 通过 、2012 年 10 月 26 日 中 华人 民 共 和 国 主席 令 第 67 号 公布 的 《全 国人 民 代 表 大 会 常务 委员 会 关于 修 
改 《“ 中 华人 民 共 和 国治 安 管理 处 罚 法 》 的 决定 》 修 正 ， 自 2013 年 1 月 1 日 起 施行 。 


第 三 章 ”违反 治安 管理 的 行为 和 处 罚 
第 一 节 ”扰乱 公共 秩序 的 行为 和 处 罚 
第 二 十 九条 ”有 下 列 行为 之 一 的 ， 处 五 日 以 下 拘留 ; 情节 较 重 的 ， 处 五 日 以 上 十 日 以 下 拘留 : 
(一 ) 违反 国家 规定 ， 侵 入 计算 机 信息 系统 ， 造 成 危害 的 ; 
(二 ) 违反 国家 规定 ， 对 计算 机 信息 系统 功能 进行 删除 、 修 改 、 增 加 、 干 扰 ， 造 成 计算 机 信息 系统 不 能 正常 运行 的 ; 
(三 ) 违反 国家 规定 ， 对 计算 机 信息 系统 中 存储 、 处 理 、 传 输 的 数据 和 应 用 程序 进行 删除 、 修 改 、 增 加 的 ; 
(四 ) 故意 制作 、 传 播 计算 机 病毒 等 破坏 性 程序 ， 影 响 计 算 机 信息 系统 正常 运行 的 。 
第 三 节 ”侵犯 人 身 权利 、 财 产权 利 的 行为 和 处 罚 


第 四 十 一 条 ”有 下 列 行为 之 一 的 ， 处 五 日 以 下 拘留 或 者 五 百 元 以 下 昼 款 ; 情节 较 重 的 ， 处 五 日 以 上 十 日 以 下 拘留 ， 可 以 并 处 
五 百 元 以 下 罚款 : 


(一 ) 写 恐 吓 信 或 者 以 其 他 方法 威胁 他 人 人 身 安全 的 ; 

(二 ) 公然 侮辱 他 人 或 者 捏造 事实 诽谤 他 人 的 ; 

(三 ) 捏造 事实 诬告 陷害 他 人 ， 企 图 使 也 人 受到 刑事 追究 或 者 受到 治安 管理 处 罚 的 ; 
(四 ) 对 证 人 及 其 近 杀 属 进行 威胁 、 侮 辱 、 殴 打 或 者 打击 报复 的 ; 

(五 ) 多 次 发 送 淫秽 、 侮 辱 、 和 丽 吓 或 者 其 他 信息 ， 干 扰 他 人 正常 生活 的 ; 

(六 ) 偷 宽 、 偷 拍 、 窃 听 、 散 布 他 人 隐私 的 。 


第 四 十 四 条 ”煽动 民族 仇恨 、 民 族 歧视 ,或 者 在 出 版 物 、 计 算 机 信息 网 络 中 刊载 民族 歧视 、 侮 辱 内 容 的 ， 处 十 日 以 上 十 五 日 
以 下 拘留 ， 可 以 并 处 一 干 元 以 下 罚款 。 


第 四 十 五 条 ” 冒 领 、 隐 匿 、 毁 弃 、 私 自 开 拆 或 者 非法 检查 他 人 邮件 的 ， 处 五 日 以 下 拘留 或 者 五 百 元 以 下 罚款 。 
第 四 节 ”妨害 社会 管理 的 行为 和 处 罚 


第 六 十 二 条 制作、 运输 、 复 制 、 出 售 、 出 租 淫秽 的 书刊 、 图 片 、 影 片 、 音 像 制 品 等 淫秽 物品 或 者 利用 计算 机 信息 网 络 、 电 
话 以 及 其 他 通讯 工具 传播 淫秽 信息 的 ， 处 十 日 以 上 十 五 日 以 下 拘留 ， 可 以 并 处 三 干 元 以 下 罚款 ;情节 较 轻 的 ， 处 五 日 以 下 拘留 或 
者 五 百 元 以 下 罚款 。 


A.10 《中 华人 民 共 和 国 反 不 正当 竞争 法 》 


本 法 于 1993 年 9 月 2 日 第 八 届 全 国人 民 代表 大 会 常务 委员 会 第 三 次 会 议 通过 并 公布 ， 自 1993 年 12 月 1 日 起 施行 。 
第 二 章 “不 正当 竞争 行为 
第 十 条 ”经营 者 不 得 采用 下 列 手 段 侵犯 商业 秘密 : 
(一 ) 以 盗窃 、 利 诱 、 胁 迫 或 者 其 他 不 正当 手段 获取 权利 人 的 商业 秘密 ; 
(二 ) 披露 、 使 用 或 者 允许 他 人 使 用 以 前 项 手段 获取 的 权利 人 的 商业 秘密 
(三 ) 违反 约定 或 者 违反 权利 人 有 关 保 守 商 业 秘密 的 要 求 ， 披 露 、 使 用 或 者 允许 他 人 使 用 其 所 掌握 的 商业 秘密 。 
第 三 人 明知 或 者 应 知 前 款 所 列 违法 行为 ， 获 取 、 使 用 或 者 披露 他 人 的 商业 秘密 ， 视 为 侵犯 商业 秘密 。 


本 条 所 称 的 商业 秘密 ， 是 指 不 为 公众 所 知悉 、 能 为 权利 人 带 来 经 济 利益 、 具 有 实用 性 并 经 权利 人 采取 保密 措施 的 技术 信息 和 


经 营 住 


-=- 工 营 信 息 。 
第 四 章 ”法律 责任 
第 二 十 条 ”经 营 者 违反 本 法 规定 ， 给 被 侵害 的 经 营 者 造成 损害 的 ， 应 当 承 担 损害 赔偿 责任 ， 被 人 


的 ， 赔 偿 额 为 侵权 人 在 侵权 期 间 因 侵权 所 获得 的 利润 ; 并 应 当 承 担 被 侵害 的 经 营 者 因 调查 该 经 营 者 人 
行为 所 支付 的 合理 费用 。 


害 的 经 营 者 的 损失 难以 计算 
害 其 合法 权益 的 不 正当 竞争 


0 


| 


中 


被 侵害 的 经 营 者 的 合法 权益 受到 不 正当 竞争 行为 损害 的 ， 可 以 向 人 民法 院 提起 诉讼 。 


A.11 《中 华人 民 共 和 国 合同 法 》 


本 法 于 1999 年 3 月 15 日 由 中 华人 民 共 和 国 第 九 届 全 国人 民 代 表 大 会 第 二 次 会 议 通过 并 公布 ， 自 1999 年 10 月 1 日 起 施行 。 
总 则 
第 七 章 ”违约 责任 


第 一 百 零 七 条 ”当事人 一 方 不 履行 合同 义务 或 者 履行 合同 义务 不 符合 约定 的 ， 应 当 承 担 继续 履行 、 采 取 补 救 措施 或 者 赔偿 损 
失 等 违约 责任 。 


分 则 
第 十 八 章 技术 合同 
第 一 节 “一般 规定 
第 三 百 二 十 四 条 技术 合同 的 内 容 由 当事人 约定 ， 一 般 包 括 以 下 条 款 : 
(四 ) 技术 情报 和 资料 的 保密 ; 
第 二 节 ”技术 开发 合同 


第 三 百 四 十 一 条 ”委托 开发 或 者 合作 开发 完成 的 技术 秘密 成 果 的 使 用 权 、 转 让 权 以 及 利益 的 分 配 办 法 ， 由 当事人 约定 。 没 有 
约定 或 者 约定 不 明确 ， 依 照 本 法 第 六 十 一 条 的 规定 仍 不 能 确定 的 ， 当 事 人 均 有 使 用 和 转让 的 权利 ， 但 委托 开发 的 研究 开发 人 不 得 
在 向 委托 人 交付 研究 开发 成 果 之 前 ， 将 研究 开发 成 果 转 让 给 第 三 人 。 


第 三 节 ”技术 转让 合同 


第 三 百 四 十 七 条 ”技术 秘密 转让 合同 的 让 与 人 应 当 按照 约定 提供 技术 资料 ， 进 行 技术 指导 ， 保 证 技术 的 实用 性 、 可 靠 性 ， 承 
担保 密 义 务 。 


第 三 百 四 十 八条 ”技术 秘密 转让 合同 的 受 让 人 应 当 按 照 约定 使 用 技术 ， 支 付 使 用 费 ， 承 担保 密 义 务 。 


A.12 《中 华人 民 共 和 国 劳动 法 》 


本 法 由 中 华人 民 共 和 国 第 八 届 全 国人 民 代表 大 会 常务 委员 会 第 和 八 次 会 议 于 1994 年 7 月 5 日 通过 ， 现 予 公布 ， 自 1995 年 1 月 1 日 起 


施行 。 
第 十 二 章 ”法律 责 任 
第 一 百 零 二 条 ”劳动 者 违反 本 法 规定 的 条 件 解除 劳动 合同 或 者 违反 劳动 合同 中 约定 的 保密 事项 ， 对 用 人 单位 造成 经 济 损失 
的 ， 应 当 依 法 承担 赔偿 责任 。 


A.13 《中 华人 民 共 和 国 劳动 合同 法 》 

本 法 于 2007 年 6 月 29 日 由 中 华人 民 共 和 国 第 十 届 全 国人 民 代 表 大 会 常务 委员 会 第 二 十 八 次 会 议 通 过 并 公布 ， 自 2008 年 1 月 1 日 
起 施行 。 

第 二 章 “劳动 合同 的 订立 
第 二 十 三 条 ”用 人 单位 与 劳动 者 可 以 在 劳动 合同 中 约定 保守 用 人 单位 的 商业 秘密 和 与 知识 产权 相关 的 保密 事项 。 
第 七 章 “法律 责 任 

第 九 十 条 ”劳动 者 违反 本 法 规定 解除 劳动 合同 ， 或 者 违反 劳动 合同 中 约定 的 保密 义务 或 者 竞 业 限制 ， 给 用 人 单位 造成 损失 

的 ， 应 当 承 担 赔偿 责任 。 


A.14 《中 华人 民 共 和 国民 法 通则 》 


1986 年 4 月 12 日 第 六 届 全 国人 民 代 表 大 会 第 四 次 会 议 通 过 ，1987 年 1 月 1 日 起 施行 。 
第 五 章 ”民事 权利 
第 四 节 ”人 身 权 


第 一 百 零 一 条 公民、 法 人 享有 名 誉 权 ， 公 民 的 人 格 苯 严 受 法 律 保 护 ， 茶 止 用 侮辱 、 诽 谤 等 方式 损害 公民 、 法 人 的 名 誉 。 


A.15 《中 华人 民 共 和 国 居民 身份 证 法 》 


本 法 于 2003 年 6 月 28 日 通过 并 公布 ， 自 2004 年 1 月 1 日 起 施行 ， 根 据 2011 年 10 月 29 日 第 十 一 届 全 国人 大 常委 会 第 23 次 会 议 《 关 
于 修改 《中 华人 民 共 和 国 居民 身份 证 法 的 决定 》 修 正 ， 自 2012 年 1 月 1 日 起 施行 。 


第 三 条 ”居民 身份 证 登记 的 项 目 包括 : 姓名 、 性 别 、 民 族 、 出 生日 期 、 常 住户 口 所 在 地 住址 、 公 民 身 份 号 码 、 本 人 相片 、 指 
纹 信 息 、 证 件 的 有 效 期 和 签发 机 关 。 


第 六 条 ”公安 机 关 及 其 人 民警 察 对 因 制 作 、 发 放 、 查 验 、 扣 押 居 民 身份 证 而 知悉 的 公民 的 个 人 信息 ， 应 当 予 以 保密 。 


第 四 章 “法律 责任 


第 十 九条 ”国家 机 关 或 者 金融 、 电 信 、 交 通 、 教 育 、 医 疗 等 单位 的 工作 人 员 港 露 在 履行 职责 或 者 提供 服务 过 程 中 获得 的 居民 
身份 证 记载 的 公民 个 人 信息 ， 构 成 犯罪 的 ， 依 法 追究 刑事 责任 ; 尚 不 构成 犯罪 的 ， 由 公安 机 关 处 十 日 以 上 十 五 日 以 下 拘留 ， 并 处 
五 干 元 罚款 ， 有 违法 所 得 的 ， 没 收 违法 所 得 。 


单位 有 前 款 行为 ， 构 成 犯罪 的 ， 依 法 追究 刑事 责任 ; 尚 不 构成 犯罪 的 ， 由 公安 机 关 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 
人 员 ， 处 十 日 以 上 十 五 日 以 下 拘留 ， 并 处 十 万 元 以 上 五 十 万 元 以 下 罚款 ， 有 违法 所 得 的 ， 没 收 违法 所 得 。 


有 前 两 款 行为 ， 对 他 人 造成 损害 的 ， 依 法 承担 民事 责任 。 
第 二 十 条 “人 民警 察 有 下 列 行为 之 一 的 ， 根 据 情 节 轻 重 ， 依 法 给 予 行政 处 分 ; 构成 犯罪 的 ， 依 法 追究 刑事 责任 : 
(二 ) 非法 变更 公民 身份 号 码 ， 或 者 在 居民 身份 证 上 登载 本 法 第 三 条 第 一 款 规定 项 目 以 外 的 信息 或 者 故意 登载 虚假 信息 的 ; 


(五 ) 泄露 因 制 作 、 发 放 、 查 验 、 扣 押 居 民 身 份 证 而 知悉 的 公民 个 人 信息 ， 侵 害 公民 合法 权益 的 。 


A.16 《中 华人 民 共 和 国 护照 法 》 


本 法 于 2006 年 4 月 29 日 由 中 华人 民 共 和 国 第 十 届 全 国人 民 代 表 大 会 常务 委员 会 第 二 十 一 次 会 议 通过 并 公布 ， 自 2007 年 1 月 1 日 


起 施行 。 


凌 


第 七 条 ”普通 护照 的 登记 项 目 包括 : 护照 持 有 人 的 姓名 、 性 别 、 出 生日 期 、 出 生地 ， 护 照 的 签发 日 期 、 有 效 期 、 签 发 地 点 和 
签发 机 天 。 


第 九条 ”外交 护照 、 公 务 护照 的 登记 项 目 包 括 : 护照 持 有 人 的 姓名 、 性 别 、 出 生日 期 、 出 生地 ， 护 照 的 签发 日 期 、 有 效 期 和 
签发 机 天 。 


第 十 二 条 ”护照 签 友 机 关 及 其 工作 人 员 对 因 制 作 、 签 发 护照 而 知悉 的 公民 个 人 信息 ， 应 当 予 以 保密 。 


第 二 十 条 ”护照 签发 机 关 工 作 人 员 在 办 理 护照 过 程 中 有 下 列 行为 之 一 的 ， 依 法 给 予 行政 处 分 ; 构成 犯罪 的 ， 依 法 追究 刑事 责 
任 : 


(五 ) 泄露 因 制 作 、 签 发 护照 而 知悉 的 公民 个 人 信息 ， 侵 害 公 民 合 法 权益 的 。 


A.17 《中 华人 民 共 和 国 侵权 责任 法 》 


本 法 于 2009 年 12 月 26 日 由 第 十 一 届 全 国人 民 代 表 大 会 常务 委员 会 第 十 二 次 会 议 通 过 ， 自 2010 年 7 月 1 日 起 施行 。 
第 一 章 一 般 规定 

第 一 条 ”为 保护 民事 主体 的 合法 权益 ， 明 确 侵权 责任 ， 预 防 并 制裁 侵权 行为 ， 促 进 社会 和 谐 稳定 ， 制 定 本 法 。 

第 二 条 ”侵害 民事 权益 ， 应 当 依照 本 法 承担 侵权 责任 。 


本 法 所 称 民事 权益 ， 包 括 生命 权 、 健 康 权 、 姓 名 权 、 名 当权 、 荣 誉 权 、 肖 像 权 、 隐 私 权 、 婚 姻 自主 权 、 监 护 权 、 所 有 权 、 用 
益 物 权 、 担 保 物 权 、 著 作 权 、 专 利 权 、 商 标 专 用 权 、 发 现 权 、 股 权 、 继 承 权 等 人 身 、 财 产权 益 。 


第 四 章 ”关于 责任 主体 的 特殊 规定 
第 三 十 六 条 ”网 络 用 户 、 网 络 服务 提供 者 利用 网 络 侵害 他 人 民事 权益 的 ， 应 当 承 担 侵权 责任 。 


网 络 用 户 利用 网 络 服务 实施 侵权 行为 的 ， 被 侵权 人 有 权 通 知 网 络 服务 提供 者 采取 删除 、 屏 项、 断 开 链接 等 必要 措施 。 网 络 服 
务 提供 者 接 到 通知 后 未 及 时 采取 必要 措施 的 ， 对 损害 的 扩大 部 分 与 该 网 络 用 户 承担 连带 责任 。 


网 络 服务 提供 者 知道 网 络 用 户 利用 其 网 络 服务 侵害 他 人 民事 权益 ， 未 采取 必要 措施 的 ， 与 该 网 络 用 户 承 担 连 带 责 任 。 
第 七 章 ”医疗 损害 责任 
第 六 十 二 条 ”医疗 机 构 及 其 医务 人 员 应 当 对 患者 的 隐私 保密 。 港 露 患 者 隐私 或 者 未 经 患者 同意 公开 其 病历 资料 ， 造 成 患者 损 
害 的 ， 应 当 承 担 侵权 责任 。 


A.18 《全 国人 民 代表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 》 
本 决定 于 2000 年 12 月 28 日 第 九 届 全 国人 民 代表 大 会 常务 委员 会 第 十 九 次 会 议 通过 。 
一 、 为 了 保障 互联 网 的 运行 安全 ， 对 有 下 列 行为 之 一 ， 构 成 犯罪 的 ， 依 照 刑 法 有 关 规 定 追究 刑事 责任 : 
(一 ) 侵入 国家 事务 、 国 防 建设 、 尖 端 科学 技术 领域 的 计算 机 信息 系统 ; 
(二 ) 故意 制作 、 传 播 计算 机 病毒 等 破坏 性 程序 ， 攻 击 计算 机 系统 及 通信 网 络 ， 致 使 计算 机 系统 及 通信 网 络 遭 受 损 害 
(三 ) 违反 国家 规定 ， 擅 自 中 断 计 算 机 网 络 或 者 通信 服务 ， 造 成 计算 机 网 络 或 者 通信 系统 不 能 正常 运行 。 
二 、 为 了 维护 国家 安全 和 社会 稳定 ， 对 有 下 列 行为 之 一 ， 构 成 犯罪 的 ， 依 照 刑 法 有 关 规定 追究 刑事 责任 : 


(一 ) 利用 互联 网 造谣 、 诽 谤 或 者 发 表 、 传 播 其 他 有 害 信 息 ， 炉 动 颠覆 国家 政权 、 推 翻 社 会 主义 制度 ， 或 者 煽动 分 裂 国家 、 
破坏 国家 统一 ; 


(二 ) 通过 互联 网 窃取 、 泄 露 国家 秘密 、 情 报 或 者 军事 秘密 

(三 ) 利用 互联 网 煽动 民族 仇恨 、 民 族 歧 视 ， 破 坏 民 族 团 结 

(四 ) 利用 互联 网 组 织 政 教 组织 、 联 络 政教 组 织 成 员 ， 破 坏 国 家 法 律 、 行 政法 规 实施 。 

三 、 为 了 维护 社会 主义 市 场 经 济 秩 序 和 社会 管理 秩序 ， 对 有 下 列 行为 之 一 ， 构 成 犯罪 的 ， 依 照 刑法 有 关 规 定 追 究 刑事 责任 : 
(一 ) 利用 互联 网 销售 伪 务 产品 或 者 对 商品 、 服 务 作 虚 假 宣传 ; 

(二 ) 利用 互联 网 损害 他 人 商业 信誉 和 商品 声誉 ; 

(三 ) 利用 互联 网 侵犯 他 人 知识 产权 ; 

(四 ) 利用 互联 网 编造 并 传播 影响 证 券 、 期 货 交易 或 者 其 他 扰乱 金融 秩序 的 虚假 信息 ， 

(五 ) 在 互联 网 上 建立 淫秽 网 站 、 网 页 ， 提 供 淫 秽 站 点 链接 服务 ， 或 者 传播 淫秽 书刊 、 影 片 、 音 像 、 图 片 。 


四 、 为 了 保护 个 人 、 法 人 和 其 他 组 织 的 人 身 、 财 产 等 合法 权利 ， 对 有 下 列 行为 之 一 ， 构 成 犯罪 的 ， 依 照 刑法 有 关 规 定 追 究 刑 
事 责任 : 


(一 ) 利用 互联 网 侮 厚 他 人 或 者 捏造 事实 诽谤 他 人 ; 


(二 ) 非法 截获 、 自 改 、 删 除 他 人 电子 邮件 或 者 其 他 数据 资料 ， 侵 犯 公民 通信 自由 和 通信 秘密 ; 


(三 ) 利用 互联 网 进行 盗 穷 、 诈 骗 、 敲 诈 勒索 。 


五 、 利 用 互联 网 实施 本 决定 第 一 条 、 第 二 条 、 第 三 条 、 第 四 条 所 列 行为 以 外 的 其 他 行为 ， 构 成 犯罪 的 ， 依 照 刑法 有 关 规 定 追 
究 刑事 责任 。 


六 、 利 用 互联 网 实施 违法 行为 ， 违 反 社会 治安 管理 ， 尚 不 构成 犯罪 的 ， 由 公安 机 天 依 照 《 治 安 管理 处 罚 条 例 》 予 以 处 罚 ; 违 
反 其 他 法 律 、 行 政法 规 ， 尚 不 构成 犯罪 的 ， 由 有 关 行 政 管理 部 门 依法 给 予 行政 处 罚 ; 对 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 
员 ， 依 法 给 予 行政 处 分 或 者 纪律 处 分 。 


利用 互联 网 侵犯 他 人 合法 权益 ， 构 成 民事 侵权 的 ， 依 法 承担 民事 责任 。 


A.19 《全 国人 民 代 表 大 会 常务 委员 会 关于 加 强 网 络 信息 保护 的 决定 》 
本 决定 于 2012 年 12 月 28 日 第 十 一 届 全 国人 民 代 表 大 会 常务 委员 会 第 三 十 次 会 议 通过 ， 并 于 同日 公布 施行 。 
为 了 保护 网 络 信息 安全 ， 保 障 公民 、 法 人 和 其 他 组 织 的 合法 权益 ， 维 护 国家 安全 和 社会 公共 利益 ， 特 作 如 下 决定 : 
一 、 国 家 保护 能 够 识别 公民 个 人 身份 和 涉及 公民 个 人 隐私 的 电子 信息 。 
任何 组 织 和 个 人 不 得 窃取 或 者 以 其 他 非法 方式 获取 公民 个 人 电子 信息 ， 不 得 出 售 或 者 非法 向 他 人 提供 公民 个 人 电子 信息 。 


二 、 网 络 服务 提供 者 和 其 他 企业 事业 单位 在 业务 活动 中 收集 、 使 用 公民 个 人 电子 信息 ， 应 当 遵 循 合法 、 正 当 、 必 要 的 原则 ， 
明示 收集 、 使 用 信息 的 目的 、 方 式 和 范围 ， 并 经 被 收集 者 同意 ， 不 得 违反 法 律 、 法 规 的 规定 和 双方 的 约定 收集 、 使 用 信息 。 


网 络 服务 提供 者 和 其 他 企业 事业 单位 收集 、 使 用 公民 个 人 电子 信息 ， 应 当 公开 其 收集 、 使 用 规则 。 


三 、 网 络 服务 提供 者 和 其 他 企业 事业 单位 及 其 工作 人 员 对 在 业务 活动 中 收集 的 公民 个 人 电子 信息 必须 严格 保密 ， 不 得 泄露 、 
自 改 、 毁 损 ， 不 得 出 售 或 者 非法 向 他 人 提供 。 

四 、 网 络 服务 提供 者 和 其 他 企业 事业 单位 应 当 采 取 技 术 措施 和 其 他 必要 措施 ， 确 保 信息 安全 ， 防 止 在 业务 活动 中 收集 的 公民 
个 人 电子 信息 泄露 、 毁 损 、 丢 失 。 在 发 生 或 者 可 能 发 生 信息 泄露 、 毁 损 、 丢 失 的 情况 时 ， 应 当 立 即 采 取 补 救 措施 。 


五 、 网 络 服务 提供 者 应 当 加 强 对 其 用 户 发 布 的 信息 的 管理 ， 发 现 法 律 、 法 规 禁 止 发 布 或 者 传输 的 信息 的 ， 应 当 立即 停止 传输 
该 信息 ， 采 取消 除 等 处 置 措施 ， 保 存 有 关 记 录 ， 并 向 有 关 主 管 部 门 报告 。 


六 、 网 络 服务 提供 者 为 用 户 办 理 网 站 接 入 服务 ， 办 理 固定 电话 、 移 动 电话 等 入 网 手续 ， 或 者 为 用 户 提供 信息 发 布 服务 ， 应 当 
在 与 用 户 签订 协议 或 者 确认 提供 服务 时 ， 要 求 用 户 提供 真实 身份 信息 。 

七 、 任 何 组 织 和 个 人 未 经 电子 信息 接收 者 同意 或 者 请 求 ， 或 者 电子 信息 接收 者 明确 表示 拒绝 的 ， 不 得 向 其 固定 电话 、 移 动 电 
话 或 者 个 人 电子 邮箱 发 送 商 业 性 电子 信息 。 

八 、 公 民 发 现 泄露 个 人 身份 、 散 布 个 人 隐私 等 侵害 其 合法 权益 的 网 络 信息 ， 或 者 受到 商业 性 电子 信息 侵扰 的 ， 有 权 要 求 网 络 
服务 提供 者 删除 有 天 信息 或 者 采取 其 他 必要 措施 予以 制止。 

九 、 任 何 组 织 和 个 人 对 窃取 或 者 以 其 他 非法 方式 获取 、 出 售 或 者 非法 向 他 人 提供 公民 个 人 电子 信息 的 违法 犯罪 行为 以 及 其 他 
网 络 信息 违法 犯罪 行为 ， 有 权 向 有 关 主 管 部 门 举报 、 控 告 ; 接 到 举报 、 控 告 的 部 门 应 当 依 法 及 时 处 理 。 被 侵权 人 可 以 依法 提起 诉 


讼 o 


十 、 有 关 主 管 部 门 应 当 在 各 自 职权 范围 内 依法 履行 职责 ， 采 取 技 术 措 施 和 其 他 必要 措施 ， 防 范 、 制 止 和 查处 窃取 或 者 以 其 他 


非法 方式 获取 、 出 售 或 者 非法 向 他 人 提供 公民 个 人 电子 信息 的 违法 犯罪 行为 以 及 其 他 网 络 信息 违法 犯罪 行为 。 有 关 主 管 部 门 依法 
履行 职责 时 ， 网 络 服务 提供 者 应 当 予以 配合 ， 提 供 技术 支持 。 


国家 机 关 及 其 工作 人 员 对 在 履行 职责 中 知悉 的 公民 个 人 电子 信息 应 当 予 以 保密 ， 不 得 泄露 、 算 改 、 毁 损 ， 不 得 出 售 或 者 非法 
向 他 人 提供 。 


十 一 、 对 有 违反 本 决定 行为 的 ， 依 法 给 予 警 告 、 罚 款 、 没 收 违法 所 得 、 吊 销 许 可 证 或 者 取消 备案 、 关 闭 网 站 、 蔡 止 有 关 责 任 
人 员 从 事 网 络 服务 业务 等 处 罚 ， 记 入 社会 信用 档案 并 予以 公布 ; 构成 违反 治安 管理 行为 的 ， 依 法 给 予 治安 管理 处 罚 。 构 成 犯罪 
的 ， 依 法 追究 刑事 责任 。 侵 害 他 人 民事 权益 的 ， 依 法 承担 民事 责任 。 


A.20 《中 华人 民 共 和 国 刑事 诉讼 法 》 
本 法 于 1979 年 7 月 1 日 第 五 届 全 国人 民 代 表 大 会 第 二 次 会 议 通过 ， 根 据 2012 年 3 月 14 日 第 十 一 届 全 国人 民 代 表 大 会 第 五 次 会 议 
《关于 修改 《中 华人 民 共 和 国 刑事 诉讼 法 的 决定 》 第 二 次 修正 。 
第 二 编 ” 立 案 、 侦 查 和 提起 公诉 
第 二 章 ”侦查 
二 节 ”讯问 犯罪 嫌疑 人 
第 一 百 一 十 八条 ”侦查 人 员 在 讯问 犯罪 嫌疑 人 的 时 候 ， 应 当 首 先 讯问 犯罪 嫌疑 人 是 否 有 犯罪 行为 ， 让 他 陈述 有 罪 的 情节 或 者 


无 罪 的 辩解 ， 然 后 向 他 提出 问题 。 犯 罪 嫌 疑 人 对 侦查 人 员 的 提问 ， 应 当 如 实 回 答 。 但 是 对 与 本 案 无 关 的 问题 ， 有 拒绝 回答 的 权 
利 。 


第 三 编审 判 
第 二 章 第 一 审 程序 
第 一 节 ”公诉 案件 
第 一 百 八 十 三 条 “人民 法院 审判 第 一 审 案 件 应 当 公 开 进 行 。 但 是 有 关 国家 秘密 或 者 个 人 隐私 的 案件 ， 不 公开 审理 ; 涉及 商业 
秘密 的 案件 ， 当 事 人 申请 不 公开 审理 的 ， 可 以 不 公开 审理 。 


A.21 《中 华人 民 共 和 国民 事 诉讼 法 》 


本 法 于 1991 年 4 月 9 上 日 第 七 届 全 国人 民 代 表 大 会 第 四 次 会 议 通过 、 公 布 并 施行 ， 根 据 2012 年 8 月 31 日 第 十 一 届 全 国人 民 代 表 大 





会 常务 委员 会 第 二 十 八 次 会 议 《 关 于 修改 《中 华人 民 共 和 国民 事 诉讼 法 的 决定 》 第 二 次 修正 。 
第 一 编 ” 总 则 
第 六 章 ”证据 


第 六 十 八条 ”证 据 应 当 在 法 庭 上 出 示 ， 并 由 当事人 互相 质证 。 对 涉及 国家 秘密 、 商 业 秘密 和 个 人 隐私 的 证 据 应 当 保 密 ， 需 
在 法 庭 出 示 的 ， 不 得 在 公开 开庭 时 出 示 。 


第 二 编 ， 审 判 程 序 
第 十 二 章 第 一 审 普通 程序 
第 三 节 ”开庭 审理 


第 一 百 三 十 四 条 “人 民法 院 审理 民事 案件 ， 除 涉及 国家 秘密 、 个 人 隐私 或 者 法 律 另 有 规定 的 以 外 ， 应 当 公 开 进行 。 离 婚 案 


件 ， 涉 及 商业 秘密 的 案件 ， 当 事 人 申请 不 公开 审理 的 ， 可 以 不 公开 审理 。 


A.22 《中 华人 民 共 和 国电 子 签名 法 》 
本 法 于 2004 年 8 月 28 日 第 十 届 全 国人 民 代表 大 会 常务 委员 会 第 十 一 次 会 议 通过 ，2005 年 4 月 1 日 正式 施行 。 
第 一 章 ”总则 
第 一 条 ”为 了 规范 电子 签名 行为 ， 确 立 电子 签名 的 法 律 效 力 ， 维 护 有 关 各 方 的 合法 权益 ， 制 定 本 法 。 
第 三 条 ”民事 活动 中 的 合同 或 者 其 他 文件 、 单 证 等 文书 ， 当 事 人 可 以 约定 使 用 或 者 不 使 用 电子 签名 、 数 据 电 文 。 
当事人 约定 使 用 电子 签名 、 数 据 电文 的 文书 ， 不 得 仅 因 为 其 采用 电子 签名 、 数 据 电文 的 形式 而 否定 其 法 律 效力 。 
前 款 规定 不 适用 下 列 文 书 : 
(一 ) 涉及 婚姻 、 收 养 、 继 承 等 人 身 关系 的 ; 
(二 ) 涉及 土地 、 房 屋 等 不 动产 权益 转让 的 ; 
(三 ) 涉及 停止 供水 、 供 热 、 供 气 、 供 电 等 公用 事业 服务 的 ; 
(四 ) 法 律 、 行 政法 规 规定 的 不 适用 电子 文书 的 其 他 情形 。 
第 三 章 ”电子 签名 与 认证 
第 十 四 条 “可靠 的 电子 签名 与 手写 签名 或 者 盖 章 具有 同等 的 法 律 效力 。 
第 十 六 条 ”电子 签名 需要 第 三 方 认证 的 ， 由 依法 设立 的 电子 认证 服务 提供 者 提供 认证 服务 。 


第 十 八条 ”从 事 电子 认证 服务 ， 应 当 向 国务 院 信息 产业 主管 部 门 提出 申请 ， 并 提交 符合 本 法 第 十 七 条 规定 条 件 的 相关 材料 。 
国务 院 信息 产业 主管 部 门 接 到 申请 后 经 依法 审查 ， 征 求 国务 院 商 务 主管 部 门 等 有 关 部 门 的 意见 后 ， 自 接 到 申请 之 日 起 四 十 五 日 内 
作出 许可 或 者 不 予 许 可 的 决定 。 予 以 许可 的 ， 颁 发 电子 认证 许可 证 书 ; 不 予 许 可 的 ， 应 当 书 面 通知 申请 人 并 告知 理由 。 


申请 人 应 当 持 电子 认证 许可 证 书 依法 向 工商 行政 管理 部 门 办 理 企业 登记 手续 。 
取得 认证 资格 的 电子 认证 服务 提供 者 ， 应 当 按 照 国务 院 信息 产业 主管 部 门 的 规定 在 互联 网 上 公布 其 名 称 、 许 可 证 号 等 信息 。 


第 二 十 三 条 ”电子 认证 服务 提供 者 拟 暂 停 或 者 终止 电子 认证 服务 的 ， 应 当 在 暂停 或 者 终止 服务 九 十 日 前 ， 就 业务 承接 及 其 他 
有 关 事 项 通知 有 关 各 方 。 


电子 认证 服务 提供 者 拟 暂 停 或 者 终止 电子 认证 服务 的 ， 应 当 在 暂停 或 者 终止 服务 六 十 日 前 向 国务 院 信息 产业 主管 部 门 报告 ， 
并 与 其 他 电子 认证 服务 提供 者 就 业务 承接 进行 协商 ， 作 出 妥善 安排 。 


电子 认证 服务 提供 者 未 能 就 业务 承接 事项 与 其 他 电子 认证 服务 提供 者 达成 协议 的 ， 应 当 申请 国务 院 信息 产业 主管 部 门 安排 其 
他 电子 认证 服务 提供 者 承接 其 业务 。 


电子 认证 服务 提供 者 被 依法 吊销 电子 认证 许可 证 书 的 ， 其 业务 承接 事项 的 处 理 按照 国务 院 信息 产业 主管 部 门 的 规定 执行 。 
第 二 十 四 条 ”电子 认证 服务 提供 者 应 当 受 善 保存 与 认证 相关 的 信息 ， 信 息 保 存 期 限 至 少 为 电子 签名 认证 证 书 失效 后 五 年 。 


第 二 十 五 条 ”国务院 信息 产业 主管 部 门 依照 本 法 制定 电子 认证 服务 业 的 具体 管理 办 法 ， 对 电子 认证 服务 提供 者 依法 实施 监 上 


管理 。 
国务 院 信息 产业 主管 部 门 根据 有 关 协 议 或 者 对 等 原则 核准 后 ， 中 华人 民 共 和 国境 外 的 电子 认证 服务 提供 者 在 


经 


第 二 十 六 条 经 
境外 签发 的 电子 签名 认证 证 书 与 依照 本 法 设立 的 电子 认证 服务 提供 者 签发 的 电子 签名 认证 证 书 具 有 同等 的 法 律 效力 。 
第 四 章 ， 法律 责 任 
第 二 十 七 条 ”电子 签名 人 知悉 电子 签名 制作 数据 已 经 失 密 或 者 可 能 已 经 失 密 未 及 时 告知 有 关 各 方 、 并 终止 使 用 电子 签名 制作 
数据 ， 未 向 电子 认证 服务 提供 者 提供 真实 、 完 整 和 准确 的 信息 ， 或 者 有 其 他 过 错 ， 给 电子 签名 依赖 方 、 电 子 认 证 服务 提供 者 造成 
员 失 ， 


损失 的 ， 承 担 赔偿 责任 。 
第 二 十 八条 ”电子 签名 人 或 者 电子 签名 依赖 方 因 依 据 电 子 认证 服务 提供 者 提供 的 电子 签名 认证 服务 从 事 民 事 活动 遭受 


电子 认证 服务 提供 者 不 能 证 明 自 己 无 过 错 的 ， 承 担 赔 偿 责 任 。 
第 二 十 九条 ”未 经 许可 提供 电子 认证 服务 的 ， 由 国务 院 信息 产业 主管 部 门 责令 停止 违法 行为 ， 有 违法 所 得 的 ， 没 收 违法 所 
罚款 ; 没有 违法 所 得 或 者 违法 所 得 不 足 三 十 万 元 的 ， 处 十 万 元 以 


得 ; 违法 所 得 三 十 万 元 以 上 的 ， 处 违法 所 得 一 倍 以 上 三 倍 以 下 的 
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上 三 十 万 元 以 下 的 罚款 。 
第 三 十 条 ”电子 认证 服务 提供 者 暂停 或 者 终止 电子 认证 服务 ， 未 在 暂停 或 者 终止 服务 六 十 日 前 向 国务 院 信息 产 业主 管 部 门 报 
告 的 ， 由 国务 院 信息 产业 主管 部 门 对 其 直接 负责 的 主管 人 员 处 一 万 元 以 上 五 万 元 以 下 的 
第 三 十 一 条 ”电子 认证 服务 提供 者 不 遵守 认证 业务 规则 、 未 妥善 保存 与 认证 相关 的 信息 ， 或 者 有 其 他 违法 行为 的 ， 由 国务 院 


信息 产业 主管 部 门 责令 限期 改正 ;逾期 未 改正 的 ， 吊 销 电 子 认证 许可 证 书 ， 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 十 年 内 不 


得 从 事 电子 认证 服务 。 吊 销 电子 认证 许可 证 书 的 ， 应 当 予 以 公告 并 通知 工商 行政 管理 部 门 。 
伪造 、 冒 用 、 盗 用 他 人 的 电子 签名 ， 构 成 犯罪 的 ， 依 法 追究 刑事 责任 ; 给 他 人 造成 损失 的 ， 依 法 承担 民事 责 


第 三 十 二 条 
任 。 
依照 本 法 负责 电子 认证 服务 业 监督 管理 工作 的 部 门 的 工作 人 员 ， 不 依法 履行 行政 许可 、 监 督 管理 职责 的 ， 依 法 


纪 


第 三 十 三 条 


给 予 行政 处 分 ; 构成 犯罪 的 ， 依 法 追究 刑事 责任 。 


附录 B 部 分 信息 安全 国家 标准 列表 


B.1 基础 标准 
基础 标准 包括 安全 术语 、 体 系 结构 、 模 型 、 框 架 4 个 子 类 。 下 列 4 张 表 分 别 列 出 了 这 4 个 子 类 的 部 分 标准 。 


表 B-1 安全 术语 标准 
对 应 国际 标准 


信息 技术 ”词汇 ISO/IEC 2382 一 8 


信息 安全 技术 术语 





表 B-2 体系 结构 标准 


标准 名 称 对 应 国际 标准 


开放 系统 互 连 ”基本 参考 模型 第 2 部 分 : 
GB/T 9387.2 一 1995 村 ISO 7498 一 2:1989 


安全 体系 结构 





表 B-3 模型 标准 


序号 对 应 国际 标准 
1 开放 系统 互 连 高层 安全 模型 ISO/IEC 10745:1995 
GB/T 18237.1 一 2000 | ”开放 系统 互 连 ”通用 高 层 安全 ”概述 、 模 型 和 记 法 | ISO/IEC 11586 一 1:1996 
开放 系统 互 连 通用 高 层 安 全 ”安全 交换 服务 元 
素 (SESE) 服务 定义 


3 
开放 系统 互 连 通用 高 层 安全 安全 交换 服务 元 
4 | GB/T18237.3—2000| ISO/IEC 11586 一 3:1996 
素 (SESE) 协议 规范 


5 GB/T 18237.4 一 2003 开放 系统 互 连 通用 高 层 安 全 保护 传送 语法 规范 ISO/IEC 11586 一 4:1996 
6 GB/T 18231 一 2000 信息 技术 ”低层 安全 模型 ISO/IEC TR 13594:1995 
gh GB/T 17963 一 2000 开放 系统 互连网 络 层 安 全 协议 ISO/IEC 11577:1995 


表 B-4 框架 标准 


标准 名 各 对 应 国际 标准 
GB/T 16264.8 一 2005 开放 系统 互 连 目录 第 8 部分: 公 和 钥 和 属性 证 书 框架 ISO/IEC 9594 一 8 


GB/T 18237.2—2000 ISO/IEC 11586—2:1996 





一 、 
SS 
人 
— 


对 应 国际 标准 
开放 系统 互 连 ”开放 系统 安全 框架 “第 1 部 分 : 概述 “| ISO 10181 一 1:1996 
开放 系统 互 连 ”开放 系统 安全 框架 第 2 部 分 : 鉴别 框架 “| ISO 10181 一 2:1996 
开放 系统 互 连 ”开放 系统 安全 框架 第 3 部 分 : 访问 控制 框架 | ISO 10181 一 3:1996 
GB/T 18794.4 一 2002 | ”开放 系统 互 连 ”开放 系统 安全 框架 ”第 4 部 分 : 抗 抵赖 框架 | ISO 10181 一 4:1997 
开放 系统 互 连 ” 开 放 系 统 安 全 框架 ”第 5 部分: 机 密 性 框架 | ISO 10181 一 5:1996 


GB/T 18794.6 一 2002 开放 系统 互 连 ”开放 系统 安全 框架 第 6 部 分 : 完整 性 框架 | ISO 10181 一 6:1996 
开放 系统 互 连 ”开放 系统 安全 框架 第 7 部 分 : 安全 审 
GB/T 18794.7 一 2002 计 和 报警 框 区 ISO 10181 一 7:1996 


B.2 技术 与 机 制 标 ; 





技术 与 机 制 标准 包括 标识 与 鉴别 、 授 权 与 访问 控制 、 实 体 管 理 、 物 理 安全 4 个 子 类 。 下 列 4 张 表 分 别 列 出 了 这 4 个 子 类 的 部 分 
标准 。 


表 B-5 标识 与 鉴别 标准 


标准 编号 标准 名 称 


GB/T 15851—1995 
GB/T 17902.1 一 1999 
GB/T 17902.2 一 2005 
GB/T 17902.3 一 2005 
GB/T 25061 一 2010 


GB/Z 19717 一 2005 


GB/T 15843.1—2008 
GB/T 15843.2—2008 
GB/T 15843.3—2008 
GB/T 15843.4—2008 
GB/T 15843.5—2005 
GB/T 21053—2007 
GB/T 21054—2007 
GB/T 15852.1—2008 
GB/T 28455—2012 


标准 编号 
GB/T 17903.1—2008 
GB/T 17903.2—2008 
GB/T 17903.3—2008 
GB/T 19713—2005 
GB/T 19714—2005 
GB/Z 19771—2005 









带 消 息 恢 复 的 数字 签名 方案 

带 附录 的 数字 签名 第 1 部 分 : 概述 

带 附录 的 数字 签名 第 2 部 分 : 基于 身份 的 机 制 
带 附录 的 数字 签名 第 3 部 分 : 基于 证 书 的 机 制 
XML 数字 签名 语法 与 处 理 规范 

基于 多 用 途 互 联网 邮件 扩展 (MIME) 的 安全 报 


文 交 换 


实体 鉴别 ”第 1 部 分 : 概述 

实体 鉴别 第 2 部 分 : 采用 对 称 加 密 算法 的 机 制 
实体 鉴别 第 3 部分: 采用 非 对 称 签名 技术 的 机 制 
实体 鉴别 ”第 4 部 分 : 采用 密码 校 验 函数 的 机 制 
实体 鉴别 ”第 5 部 分 : 使 用 零 知 识 技术 的 机 制 
PKI 系统 安全 等 级 保护 技术 要 求 

PKI 系统 安全 等 级 保护 评估 准则 

消息 鉴别 码 第 1 部 分 : 采用 分 组 密码 的 机 制 
引入 可 信 第 三 方 的 实体 鉴别 及 接 入 架构 规范 





表 B-6 授权 与 访问 控制 标准 


标准 名 称 


抗 抵赖 ”第 1 部 分 ， 概述 

抗 抵赖 ”第 2 部分: 使 用 对 称 技术 的 机 制 
抗 抵赖 ”第 3 部 分 : 使 用 非 对 称 技术 的 机 制 
公 钥 基础 设施 “在线 证 书 状 态 协 议 

公 钥 基础 设施 ”证书 管理 协议 

公 钥 基础 设施 PKI 组 件 最 小 互 操 作 规 范 









对 应 国际 标准 
ISO/IEC 9796:1991 
ISO/IEC 14888 一 1:1998 
ISO/IEC 14888 一 2:1999 
ISO/IEC 14888 一 3:1998 


ISO/IEC 9798 一 1:1991 
ISO/IEC 9798 一 2:1994 
ISO/IEC 9798 一 3:1997 
ISO/IEC 9798 一 4:1995 
ISO/IEC 9798—5:2004 


对 应 国际 标准 
ISO/IEC 13888 一 1:1998 
ISO/IEC 13888 一 2:1998 
ISO/IEC 13888 一 3:1998 
ISO/IEC 14888 一 3:1998 





公 钥 基础 设施 ”数字 证 书 格式 

公 钥 基础 设施 ”时间 稚 规 范 

电子 认证 服务 机 构 运 营 管理 规范 

公 钥 基础 设施 ”安全 支撑 平台 技术 框架 

特定 权限 管理 中 心 技术 规范 

X.509 数字 证 书 应 用 接口 规范 

简易 在 线 证 书 状 态 协 议 

电子 签名 卡 应 用 接口 基本 要 求 

基于 互联 网 电子 政务 信息 安全 实施 指南 

信息 系统 等 级 保护 安全 技术 设计 要 求 

鉴别 与 授权 ”基于 角色 的 访问 控制 模型 与 管理 规范 

IT 网 络 安全 第 3 部 分 : 使 用 安全 网 关 的 网 间 
通信 安全 保护 

IT 网 络 安全 第 4 部 分 : 远程 接 人 的 安全 保护 

第 5 部 分 : 使 用 虚拟 专用 网 的 跨 网 通信 安全 保护 

金融 服务 ”信息 安全 指南 

安全 防范 视频 监控 联网 系统 信息 传输 、 交 换 、 控 
制 技术 要 求 

电力 系统 管理 及 其 信息 交换 数据 和 通信 安全 
第 1 部 分 : 通信 网 络 和 系统 安全 安全 问题 介绍 

电力 系统 管理 及 其 信息 交换 数据 和 通信 安全 
第 3 部 分 : 通信 网 络 和 系统 安全 包含 TCPJTP 的 协 
议 集 

电力 系统 管理 及 其 信息 交换 数据 和 通信 安全 
第 4 部 分 : 包含 MMS 的 协议 集 

电力 系统 管理 及 其 信息 交换 数据 和 通信 安全 
第 6 部 分 : IEC 61850 的 安全 

人 侵 检 测 系统 的 选择 、 部 署 和 操作 


GB/T 20518—2006 
GBIT 20520—2006 
GBI/T 28447 一 2012 
GB/T 25053 一 2010 
GB/T 20519 一 2006 
GB/T 25060 一 2010 
GBIT 25059 一 2010 
GBI/T 25057 一 2010 
GB/Z 24294 一 2009 
GB/T 25070 一 2010 
GB/T 25062 一 2010 


GBIT 23068.3 一 2010 


GBIT 25068.4—2010 
GBI/T 25068.5—2010 
GB/ 工 27910 一 2011 


GBI/T 28181 一 2011 


GB/Z 25320.1—2010 


GB/Z 25320.3—2010 


GB/Z 25320.4—2010 


GB/Z 25320.6—2011 


GB/ 工 28454 一 2012 


GB/T 28458 一 2012 安全 漏洞 标识 与 描述 规范 


表 B-7 实体 管理 标准 


序号 标准 名 称 


GB/T 17143.1—1997 
GB/T 17143.2 一 1997 
GB/T 17143.3 一 1997 
GB/T 17143.4—1997 


GB/T 17143.5—1997 


GB/T 17143.6—1997 


GB/T 17143.7—1997 


GB/T 17143.8—1997 


开放 系统 互 连 ”系统 管理 第 1 部 分 : 客体 管理 功能 
开放 系统 互 连 ”系统 管理 第 2 部 分 : 状态 管理 功能 
开放 系统 互 连 系统 管理 第 3 部 分 : 表示 关系 的 属性 
开放 系统 互 连 ”系统 管理 第 4 部 分 : 告警 报告 功能 
开放 系统 互 连 系统 管理 第 5 部 分 : 事件 报告 管 


理 功 能 

开放 系统 互 连 ”系统 管理 第 6 部 分 : 日 志 控 制 功能 

开放 系统 互 连 ”系统 管理 ”第 7 部 分 : 安全 报警 报告 
功能 

开放 系统 互 连 ”系统 管理 ”第 8 部 分 : 安全 审计 跟踪 
功能 








( 续 ) 


对 应 国际 标准 
ISO/TEC 9798 一 1:1991 


对 应 国际 标准 
ISO/IEC 10164 一 1:1993 
ISO/IEC 10164 一 2:1993 
ISO/IEC 10164 一 3:1993 
ISO/IEC 10164 一 4:1992 


ISO/IEC 10164—5:1993 
ISO/IEC 10164 一 6:1993 


ISO/IEC 10164 一 7:1992 


ISO/IEC 10164 一 8:1993 


序号 


1 


ki” 


表 B-8 物理 安全 标准 


计算 机 场地 安全 要 求 
计算 机 场地 通用 规范 


GB/T 9361 一 2011 
GB/T 2887 一 2011 


GB 30174 一 2008 
GB 4943 一 2001 


GB 4943.1 一 2011 
GB/T 21052 一 2007 


B.3 ”管理 标准 


电子 计算 机 机 房 设 计 规 范 
信息 技术 设备 的 安全 IEC 60950:1999 
信息 技术 设备 安全 第 1 部 分 : 通用 要 求 


信息 系统 物理 安全 技术 要 求 








管理 标准 包括 管理 基础 、 管 理 要 素 、 管 理 支 撑 技 术 、 工 程 与 服务 4 个 子 类 。 下 列 4 张 表 分 别 列 出 了 这 4 个 子 类 的 部 分 标准 。 


局 
由 


hi 


表 B-9 管理 基础 标准 


标准 名 称 对 应 国际 标准 


信息 技术 安全 管理 指南 “第 1 部 分 : 信息 
技术 安全 概念 和 模型 


信息 技术 安全 管理 指南 第 2 部 分 : 管理 
GB/T 19715.2—2005 和 规划 信息 技术 安全 ISO/IEC TR 13335-2—1997 
> 百人 个 文革 


GB/T 19715.1—2005 





GB/T 22081 一 2008 


GB/T 22080 一 2008 


GB/T 20269 一 2006 


GB/T 25067 一 2010 





ISO/IEC TR 13335 一 1:1996 


表 B-10 管理 要 素 标准 


对 应 国际 标准 
9 息 安全 管理 实用 规则 ISO/IEC 27002 
息 安 全 管理 体系 ”要 求 ISO/IEC 27001 
息 系 统 安全 管理 ”要 求 
i 且 安全 稼 理 体系 审核 认证 机 构 的 要 求 ISO/IEC 27006 


表 B-11 管理 支撑 技术 标准 


信息 安全 风险 评估 规范 
统 灾难 恢复 规范 

党 息 安全 事件 分 类 分 级 指南 

i 息 安全 事件 管理 指南 


生息 .安全 风险 管理 指南 


标准 名 称 对 应 国际 标准 


GEB/ 工 24363 一 2009 
GB/T 28450—2012 





起 安全 应 急 啊 应 计划 规范 


息 安全 管理 体系 审核 指南 


GB/T 20282 一 2006 言 息 系 统 安 全 工程 管理 要 求 


二 和 有 和 对 应 国际 标 并 
2 


GB/T 22239 一 2008 
GB/I22240 一 2008 


GB/T 25058—2010 





> 此 


户 实施 指南 


B.4 测评 标准 
测评 标准 包括 测评 基础 、 产 品 测评 、 系 统 测评 3 个 子 类 。 下 列 3 张 表 分 别 列 出 了 这 3 个 子 类 的 部 分 标准 。 


表 B-13 ”测评 基础 标准 


号 | ” 标 并 过 对 应 国际 标准 
1 GB 17859 一 1999 计算 机 信息 系统 安全 保护 等 级 划分 准则 

2 GB/T 18336.1—2008 信息 技术 安全 性 评估 准则 ”第 1 部 分 : 简介 和 一 般 模型 ISO 15408 一 1 
3 GB/T 18336.2 一 2008 信息 技术 安全 性 评估 准则 第 2 部 分 : 安全 功能 要 求 ISO 15408 一 2 
4 GB/T 18336.3 一 2008 言 息 技术 安全 性 评估 准则 第 3 部 分 : 安全 保证 要 求 ISO 15408 一 3 
6 

| 

8 

9 





GB/T 20274.1 一 2006 信息 系统 安全 保障 评估 框架 ”第 1 部 分 : 简介 和 一 般 模 型 
言 息 系统 安全 保障 评估 框架 第 2 部 分 : 技术 保障 
信息 系统 安全 保障 评估 框架 第 3 部 分 : 管理 保障 
信息 系统 安全 保障 评估 框架 第 4 部 分 : 工程 保障 
护 轮 廊 和 安全 目标 的 产生 指南 PP & ST 
F 统 安全 等 级 保护 测评 要 求 


GB/T 20274.2 一 2008 
GB/T 20274.3 一 2008 
GB/T 20274.4 一 2008 








Pn 
[= 

中 | 中 
对 | 对 
= | ~ 
jd | 四 
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11 GB/T 28449 一 2012 和 系统 安全 等 级 保护 测评 过 程 指南 
12 GB/T 28453 一 2012 系统 安全 管理 评估 要 求 


表 B-14 产品 测评 标准 


| 标号 |， 村 人 称 ” [对 应 同 际 标 闪 
1 GB/T 17900 一 1999 | 网 络 代 理 服 务 器 的 安全 技术 要 求 

2 | GB/T 18018—2007 

3 GB/T 18019 一 1999 | 包 过 滤 防 火 墙 安 全 技术 要 求 

4 GB/T 18020 一 1999 | ”应 用 级 防火 墙 安全 技术 要 求 

5 GB/T 20008 一 2005 | 操作 系统 安全 评估 准则 
6 
7 
8 
9 
0 








GB/T 20009 一 2005 数据 库 管理 系统 安全 评估 准则 

包 过 滤 防 火 墙 安全 评估 准则 

操作 系统 安全 技术 要 求 

数据 库 管 理 系 统 安全 技术 要 求 

智能 卡 嵌 入 式 软件 安全 技术 要 求 (EAL4 增强 级 ) 
网 络 和 终端 设备 隔离 部 件 安全 技术 要 求 

网 络 和 终端 设备 隔离 部 件 测试 评价 方法 

网 络 脆弱 性 扫描 产品 技术 要 求 

网 络 脆弱 性 扫描 产品 测试 评价 方法 

入 侵 检测 系统 技术 要 求 和 测试 评价 方法 
防火 墙 技术 要 求 和 测试 评价 方法 

虹膜 识别 系统 技术 要 求 

具有 中 央 处 理 器 的 集成 电路 (IC) 卡 芯片 安全 技术 要 求 (EAL4 增强 级 ) 


GBA 工 20010 一 2005 
GB/T 20272 一 2006 
GB/T 20273 一 2006 
11 GB/T 20276 一 2006 

GB/T 20279 一 2006 
13 GB/T 20277 一 2006 
14 GB/T 20278—2006 
15 GB/T 20280—2006 
16 GB/T 20275 一 2006 
17 GB/T 20281 一 2006 
18 GB/T 20979 一 2007 
19 GB/T 22186—2008 


20 GB/T 21050 一 2007 | 网 络 交 换 机 安全 技术 要 求 (评估 保 证 级 3 ) 

21 GB/T 20945 一 2007 信息 系统 安全 审计 产品 技术 要 求 和 测试 评价 方法 
22 GB/T 25066 一 2010 | 信息 安全 产品 类 别 与 代码 

23 GB/T 28451 一 2012 网 络 型 人 侵 防御 产品 技术 要 求 和 测试 评价 方法 


(nN 
ka 





[so] 
+ 


GB/T 28452 一 2012 


应 用 软件 系统 通用 安全 技术 要 求 


表 B-15 系统 测评 标准 








序号 对 应 国际 标准 
1 信息 系统 通用 安全 技术 要 求 

2 网 络 基础 安全 技术 要 求 

3 网 上 银行 系统 信息 安全 保障 评估 准则 

4 网 上 证 券 交 易 系统 信息 安全 保障 评估 准则 

5 服务 器 安全 技术 要 求 

6 服务 器 安全 测评 要 求 

7 IPsec 协议 应 用 测试 规范 

8 SSL 协议 应 用 测试 规范 


B.5 ”密码 技术 标 ， 


下 表 列 出 了 部 分 密码 技术 相关 标准 。 


表 B-16 ”密码 技术 标准 


序号 标准 名 称 对 应 国际 标准 


1 GB/T 15277 一 1994 和 
煌 到 民 互 操作 性 要 
3 部 分 ， 概 述 ISO/IEC 10118 一 1:1994 

散 列 函数 ”第 2 部分: 使 用 R 比特 分 组 : 加 密 
算法 的 散 列 也 数 
5 第 3 部 分 : 专用 散 列 函数 ISO/IEC 10118 一 3:2004 
6 用 块 密码 算法 作 密 码 校 验 函 数 的 数据 完整 性 机 制 | ISO/IEC 9797:1994 
7 证 书 认证 系统 密码 及 其 相关 安全 技术 规范 
8 签名 生成 应 用 程序 的 安全 要 求 
9 分 组 密码 算法 的 工作 模式 
10 公 钥 基础 设施 电子 签名 格式 规范 


ISO/IEC 10116:1997 












4 GBI/T 18238.2—2002 ISO/IEC 10118 一 2:2000 


B.6 ”保密 技术 标 ) 


保密 技术 类 的 具体 标准 略 。 


附录 C 缩 上 略语 


0~9 


2G 2nd Generation 第 二 代数 字 蜂 窜 移 动 通信 系统 
3G 3rd Generation 第 三 代 移 动 通信 系统 


ALE Annualized Loss Expectancy 年 度 预 期 损失 

ANSI American National Standards Institute 美国 国家 标准 协会 

ARO Annualized Rate of Occurrence 年 度 发 生 率 

APT Asia-Pacific Telecommunity 亚 州 太平 详 地 区 通信 共同 体 
APCERT Asia Pacific Compnuter Emergency Response Team 亚太 地 区 计算 机 应 急 啊 应 组 
AS Alternate Site 备用 站 点 

ASTAP Asia-Pacific Telecommunity Standardization Program 亚太 地 区 电信 标准 化 机 构 
ATM Automatic Teller Machine 目 动 柜员 机 

BCP Business Continuity Planning 业务 连续 性 规划 
BCM Business Continuity Management 业务 连续 性 管理 
BCDR Backup Center For Disaster Recovery 灾难 备份 中 心 
BDR Backup For Disaster Recovery 灾难 备份 

BIA Business Impact Analysis 业务 影响 分 析 

BP Base Practices 基本 实施 

BRP Business Recovery Plan 业务 恢复 计划 
BSDR Backup System For Disaster Recovery 灾难 备份 系统 

BSI British Standards Institute 英国 标准 协会 

BSI Bundesamt fiir Sicherheit in der Informationstechnik (德国 ) 信息 安全 局 


CGC 
SEERT 


CCITT 


GEP 
CCSA 
CD 
CEL 
CF 
CIA 
CIA 
CICA 


CIFS 
CISA 
CISD 
CISE 
CISO 
CISP 
CISP-DRP 


CISPR 
CISTE 


CM 


CMM 


CNAS 


CNCA 


CN-CERT/CC 


CNCI 
CNNVD 


Common Criteria 

China education and research network Computer 
Emergency Response Team 

International Consultative Committee on 
Telecommunications and Telegraph 

Crisis Communication Planning 

China Communications Standards Association 

Compact Disk 

Computer Ethics Institute 

Common Feature, CF 

Confidentia lityIntegrity Availability 

Central Intelligence Agency 

Conference on Interaction and Confidence-Building 
Measures in Asia 

Common Internet File System 

Certified Information System Auditor 

Certified Information Security Developer 

Certified Information Security Engineer 

Certified Information Security Officer 

Certified Information Security Professional 

Certified Information Security Professional-Distribution 
Resource Planning 

International Special Committee on Radio Interference 

China Information Security Standardization Technical 
Committee 

Capability Maturity 

Capability Maturity Model 

China National Accreditation Service for Conformity 
Assessment 

Certification and Accreditation Administration of 
the People’s Republic of China 

National Computer network Emergency Response technical 
Team Coordination Center of China 

Comprehensive National Cybersecurity Initiative 

China National Vulnerability Database of Information 


Security 


通用 准则 

中 国教 育 和 科研 计算 机 网 
紧急 响应 组 

国际 电报 电话 咨询 委员 会 


危机 沟通 规划 

中 国 通信 标准 化 协会 
光盘 /高 密度 盘 片 
美国 计算 机 伦理 协会 

八 痊 村 征 

保密 性 - 完整 性 - 可 用 性 
(美国 ) 中 央 情 报 局 

亚洲 相互 协作 与 信任 措施 会 


通用 Internet 文件 系统 
注册 信息 安全 审计 师 
注册 信息 安全 开发 人 员 
注册 信息 安全 工程 师 
注册 信息 安全 管理 人 员 
注册 信息 安全 专业 人 员 
注册 信息 安全 专业 人 员 - 灾难 
恢复 工程 师 
国际 无 线 电 干扰 特别 委员 
呈 | 全 让 红榜 隐 相 术 玉 半 叶 二 
能 力 成 熟 度 
能 力 成 熟 度 模型 
中 国 合 格 评定 国家 认可 委员 会 
国家 认证 认可 监督 管理 委员 会 


国家 计算 机 网 络 应 
协调 中 心 


急 技术 处 理 


(美国 ) 合 倡 议 


COP 

CPM 
COMSEC 
COMPUSEC 
CS 


Continuity of Operations Plan 
Critical Path Method 
Communication Security 
Computer Security 


Cyberspace Security 


Data Encryption Standard 
Department of Homeland Security 
Department of Defense 

Denial of Service 

Disaster Recovery Capability 


Disaster Recovery Planning 


Evaluation Assurance Level 

European Computer Manufacturers Association 
security Engineering Capability Maturity Level 
Electronic Data Interchange 

Exposure Factor 

Electronic MAIL 

Electronic Numerical Integrator And Computer 
Emergency Response Plan 

European Telecommunications Standards Institute 


Earned Value 


运行 连续 性 计划 
关键 路 径 法 
通信 安全 
计算 机 安全 

网 络 空间 安全 


数据 加 密 标准 
(美国 ) 国土 安全 部 
(美国 ) 国防 音 
拒绝 服务 攻击 
灾难 恢复 能 力 
灾难 恢复 规划 


评估 保证 级 

欧洲 计算 机 制造 联合 会 
安全 工程 能 力 成 熟 度 级 
电子 数据 交换 

暴露 系数 

电子 邮件 
电子 数字 积分 计算 机 
应 急 响应 计划 

欧洲 电信 标准 协会 
挣 值 


Federal Bureau of Investigation 

Fiber Channel 

Federal Information Security Management Act 
Federation Information Processing Standards 
Forum of Incident Response and Security Teams 
Failure Modes and Effectsand Criticality Analysis 
France’s Networkand Information Security Agency 
Freedom of Information Act of 1966 


File Transfer Protocol 


Generilc Practice 


Global System for Mobile Communications 


Hash-based Message Authentication Code 
Hypertext Transfer Protocol 
Hypertext Transfer Protocol over Secure Socket Layer 


HAZard and OPerability studies 


(美国 ) 联邦 调查 局 

光纤 通道 

联邦 信息 安全 管理 法 案 

联邦 信息 处 理 标 准 

事件 响应 与 安全 组 论坛 

失效 模式 及 影响 和 和 危害 性 分 析 
法 国 网 络 与 信息 安全 局 


信息 自由 法 
文件 传输 协议 
通用 实施 


全 球 移动 通信 系统 


基于 哈 希 的 消息 认证 码 
超 文本 传输 协议 

安全 超 文 本 传输 协议 
危害 与 可 操作 性 分 析 


IA 
IATF 
LO 

了 
ICANN 
IGT 

ID 

IDS 
IEC 
IEEE 
IETFE 
IKE 
INFOSEC 


Information Assurance 
Information Assurance Technical Framework 
Input/Output 


Integrated Circuit 


Internet Corporation for Assigned Names and Numbers 


Information Communication Technology 
IDentity 

Intrusion Detection System 

International Electrotechnical Commission 
Institute of Electrical and Electronics Engineers 
Internet Engineering Task Force 

Internet Key Exchange 

Information Systems Security 

Internet Protocol 

Intellectual Property Rights 

Intrusion Prevention System 

Internet Protocol Security 

Information Sharing and Analysis Center 
Small Computer System Interface 

Internet Small Computer System Interface 
Information Security Management 
Information Security Management Systems 
International Organization for Standardization 
Information Systems Protection Profile 
Information Systems Security Target 
Information Systems Security Engineering 
Information Technology 

International Telecommunication Union 


ITU Telecommunication Standardization Sector 


Local Area Network 


Security Management Capability Maturity Level 


信息 安全 保障 
信息 安全 保障 技术 框架 
输入 输出 
集成 电路 
互联 网 名 称 和 数字 地 址 分 配 机 构 
信息 通信 技术 
身份 标识 符 
入 侵 检 测 系统 
国际 电工 委员 会 
美国 电气 和 电子 工程 师 协 会 
互联 网 工程 任务 组 
互联 网 密 钥 交换 
信息 系统 安全 
互联 网 协议 
知识 产权 
入 侵 防 御 系 统 
互联 网 协议 安全 
(美国 ) 信息 共享 和 分 析 中 心 
小 型 计算 机 系统 接口 
互联 网 小 型 计算 机 系统 接口 
信息 安全 管理 
言 息 安 全 管理 体系 
国际 标准 化 组 织 
信息 系统 保护 轮廓 
信息 系统 安全 目标 
信息 系统 安全 工程 
信息 技术 
国际 电信 联盟 
国际 电信 联盟 远程 通信 标准 化 组 织 


局 域 网 


安全 管理 能 力 成 熟 度 级 


P2DR/PPDR 
P2DR2/PPDRR 
BP2P 


Network Attached Storage 

National Aeronautics and Space Administration 

National Bureau of Standards 

National Committee for Information Technology 
Standards 

National Computer Security Association 

Network File System 

National Infrastructure Advisory Committee 

National Infrastructure Protection Plan 

National Institute of Standards and Technology 

National Security Agency 

Network Time Protocol 


Occupant Emergency Planning 
Open System Interconnection 


Office of Management and Budget 


Policy Protection Detection Response 

Policy Protection Detection Response Recovery 
Peer-to-Peer network 

Process Area, PA 

Public Company Accounting Oversight Board 


Prisident Cirtical Infrastructure Protect Board 


Protection Detection Response 

Program Evaluation and Review Technique 
Public Key Infrastructure 

Project Management 


Post Office Protocol 3 


网 络 附 加 存储 

美国 航空 航天 局 
(美国 ) 国家 标准 局 
(美国 ) 国家 信息 科技 标准 委员 会 


(美国 ) 国家 计算 机 安全 协会 
网 络 文件 系统 

(美国 ) 国家 基础 设施 顾问 委员 会 
(美国 ) 国家 基础 设施 保护 计划 
(美国 ) 国家 标准 与 技术 研究 院 
(美国 ) 国家 安全 局 

网 络 时 间 协 议 


人 员 紧 急 规划 
开放 系统 互 连 
(美国 ) 管理 和 预算 办 公 室 


策略 - 防护 - 
策略 - 防护 - 
对 等 网 络 


WY 今 测 一 啊 应 由 


检测 - 响应 -恢复 


过 程 区 域 

(美国 ) 公众 公司 会 计 监 察 委 员 会 

(美国 ) 总 统 关键 基础 设施 保护 
委员 会 


防护 - 检测 - 响应 
计划 评价 和 评审 技术 


公 钥 基础 设施 
项 目 管理 
邮局 协议 版 本 3 


SSE-CMM 
SW-CMM 


Quality Control 
Quality Management 


Quality Management Systems 


Risk Analysis 
Request For Comments 
Recovery Point Objective 


Recovery Time Objective 


Storage Area Network 

Server Attached Storage 

Sub Committee 

Synchronous Digital Hierarchy 
Systems Engineering 

Securities & Exchange Commission 
Systems Engineering Capability Maturity Model 
Single Loss Expectancy 

Simple Mail Transfer Protocol 
Statement of Applicability 

Security Operations Center 

Special Publications 


SSE-CMM Appraisal Method 


Systems Security Engineering Capability Maturity Model 
Capability Maturity Model for SoftWare 


泽 


部 部 部 


志 
涪 下 


RE i 


Ti 


| 


= 


里 体系 


站 


的 险 分 析 「 
ah 
恢复 点 目标 
恢复 时 间 目 标 


存储 区 域 网 络 

服务 器 附加 存储 

分 技术 委员 会 

同步 数字 体系 

系统 工程 

证 券 交 易 委 员 会 

系统 工程 能 力 成 熟 度 模型 

单 次 预期 损失 

简单 邮件 传送 协议 

适用 性 声明 

安全 管理 中 心 

特别 出 版 物 

系统 安全 工程 能 力 成 熟 度 模型 
评估 方法 

系统 安全 工程 能 力 成 熟 度 模型 

软件 能 力 成 熟 度 模 型 


Te Technology Committee 

TCML security Technique Capability Maturity Level 

TEP/P Transmission Control Protocol/Internet Protocol 

TCSEC Trusted Computer System Evaluation Criteria 

TERENA Trans-European Research and Education Networking 
Association 

TIG Trusted Internet Connection 

TLS Transport Layer Security 

TOE Target of Evaluation 

UPS Uninterruptible Power Supply 

UT™ Unified Threat Management 

VPN Virtual Private Network 

WAP Wireless Application Protocol 

WBS Work Breakdown Structure 

WLAN Wireless Local Area Network 

WG Working Group 

WTD World Telecommunication Day 

WTO World Trade Organization 


技术 委员 会 

安全 技术 能 力 成 熟 度 级 

传输 控制 协议 /互联 网 协议 
可 信 计 算 机 系统 评估 准则 
欧洲 计算 机 网 络 研究 教育 协会 


可 信 互 联网 连接 
传输 层 安 全 
评估 对象 


不 间断 电源 
统一 威胁 管理 


虚拟 专用 网 


无 线 应 用 通讯 协议 
[ 作 分 解 结构 
无 线 局 域 网 

[ 作 组 

世界 电信 日 


世界 贸易 组 织 
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